|
DRIVER_IRQ_NOT_LESS_OR_EQUAL - iastor.sys ; XP.Crack.Gen ; Antimalware-Doctor Trojaner EePC - 1005P Win7 Starter 1024 Ram Atom 1,6Ghz Hallo liebe Community, ich bin zum ersten Mal in der Not hier etwas zu posten. Allerdings, habe ich schon von einigen anderen problemen anderer user "profitiert" und suche, eure seite nicht zum ersten mal auf. Es fing vor drei Tagen an - da bekam ich den Antimalware-Doctor auf den PC. Auf eurer Seite wurde vorgeschlagen ihn mit mbam zu beseitigen - gesagt getan! Danach war mein Rechner aber extrem verlangsamt, also habe ich auch auf euren Ratschlag (alles aus einem therad eines anderen useres) hin manuell die enemies-names.txt und die schuldige .exe gesucht gefunden und gelöscht. Seither geht mein rechner wieder flüssig. Aber ein problem, das gleichzeitg aufgetaucht ist, als ich den Trojaner bekam war, dass ich beim Shutdown stets einen bluescreen bekommen mit der meldung Zitat:
Nun taucht dieser bluescreen leider manchmal auch spontan auf. Wenn ich zB sofort nach dem startup einen sammelordner öffnen will. Dadurch hab ich den verdacht, dass es mit der Auslastung meines PCs zusammenhängen kann. Doch grade vor ner stunde meldete mir Antivir, dass der XP.Crack.Gen sich auf meinem system befindet - das letzte mal, als es passierte, habe ich es mit einer systemwiederherstellung beheben können. Doch bei meiner heutigen recherche las ich hier aus einem artikel von 2008, dass ich auch alle ausführbaren dateien (exe,setup) sofort löschen sollte. Stimmt das? Ich bin gerade dabei AVZ durchlaufen zu lassen. Und hier HIJACKTHIS log vielen Dank für eure Aufmerksamkeit. Anton Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 19:52:24, on 21.04.2011 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\windows\system32\taskhost.exe C:\windows\system32\Dwm.exe C:\windows\Explorer.EXE D:\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Java\jre6\bin\javaw.exe C:\Users\antonology\Desktop\avz4\avz.exe D:\Dokumente\unentpackte software\HiJackThis204.exe C:\windows\system32\SearchFilterHost.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O2 - BHO: ASUS Windows 7 Starter Helper - {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} - C:\Program Files\asus\SystemSetting\StarterHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [0ESKOMO9JO] C:\windows\TEMP\Nwy.exe (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\antonology\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{807E25DA-A2F7-4B6D-B940-5BD56A1653F5}: NameServer = 91.188.60.223,8.8.8.8 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe O23 - Service: Asus Launcher Service (AsusService) - Unknown owner - C:\Windows\System32\AsusService.exe O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi-2.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe -- End of file - 4608 bytes |
Poste bitte alle Logs von sämtlichen Scannern mit allen relevanten Funden! In Zukunft keine Hijackthis-Logs mehr posten, das Tool ist mittlerweile zu fast nichts mehr zu gebrauchen! |
Sorry Arne, habs selbst gerade erst gelesen, dass hijackthis nicht mehr gebraucht wird. danke für die rasche antwort. ich hab gerade gemerkt dass mein avz scan nicht eurer anleitung entsprach ich habs auch nicht geupdated gehabt. aber morgen mache ichs richtig. trotzdem poste ich den avz log... und morgen den richtigen. -------------------------------------------------- Tja. nach mehrmaligen versuchen scheiterte ich bei anhänge verwalten mit folgender fehlermeldung: The connection was reset ich probiers morgen einfach gleich mit den richtigen logs |
AVZ will ich auch nicht sehen. Eher Logs von Malwarebytes und OTL. |
Okay, hier ist der Report nach Da Gurus anleitung von mbam. ich poste auch gleich den report von OTL hinterher, weil ich echt schockiert war über die enorme anzahl von 17 infizierungen. Ach ja, etwsa ist mir noch bewusst geworden ... auch beim herunterfahren kommt statt der DRIVER_IRQ_NOT_LESS_OR_EQUAL meldung folgendes: INTERNAL_POWER_ERROR. ebenfalls ein bluescreen mit einigen zahlen mit dabei... aber hier mal der mbam report Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6417 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 22.04.2011 08:45:51 mbam-log-2011-04-22 (08-45-51).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146477 Laufzeit: 5 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 4 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> 2804 -> Unloaded process successfully. c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> 2944 -> Unloaded process successfully. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 1612 -> Unloaded process successfully. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> 3916 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0ESKOMO9JO (Trojan.Downloader) -> Value: 0ESKOMO9JO -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\program files\relevantknowledge (Spyware.MarketScore) -> Delete on reboot. Infizierte Dateien: c:\Windows\Temp\Nwx.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Temp\Nwy.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Temp\Nwz.exe (Trojan.Downloader) -> Delete on reboot. c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Delete on reboot. c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully. c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully. c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully. |
Und hier sind die beiden logfiles von otl; 1: OTL.txtOTL Logfile: Code: OTL logfile created on: 4/22/2011 8:59:43 AM - Run 1 |
und hier 2.) Extras.txtOTL EXTRAS Logfile: Code: OTL Extras logfile created on: 4/22/2011 8:59:43 AM - Run 1 |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
achso...vollständig? Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Datenbank Version: 6417 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 22.04.2011 14:22:40 mbam-log-2011-04-22 (14-22-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 262409 Laufzeit: 47 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
leider hab ich nach dem fix immer noch einen bluescreen gehabt,.. derselbe mit dem internal_power_error achja, noch etwas ist mir eingefallen. die bluescreens mit den beiden fehlermeldungen internal_power_error & driver_irq_less_no_or_equal habe ich bekommen nachdem rkill.com zur beseitigung von antimalware-doctor runtergeladen und ausgefuehrt habe. das ist der log von otl All processes killed ========== OTL ========== C:\found.000\dir0000.chk folder moved successfully. C:\found.000 folder moved successfully. ADS C:\ProgramData\TEMP:5BC73C48 deleted successfully. ADS C:\ProgramData\TEMP:AB689DEA deleted successfully. ADS C:\ProgramData\TEMP:9F38BF31 deleted successfully. ADS C:\ProgramData\TEMP:706B1D1A deleted successfully. ADS C:\ProgramData\TEMP:D1B5B4F1 deleted successfully. ========== COMMANDS ========== HOSTS file reset successfully [EMPTYTEMP] User: All Users User: antonology ->Temp folder emptied: 8784154 bytes ->Temporary Internet Files folder emptied: 368960 bytes ->Java cache emptied: 10036 bytes ->FireFox cache emptied: 64674624 bytes ->Flash cache emptied: 6763 bytes User: Default ->Temp folder emptied: 121064 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 321 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 632449 bytes RecycleBin emptied: 2079591893 bytes Total Files Cleaned = 2,054.00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04232011_001509 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
das ist der windows-log, der bei mir nach meinem systemcrash mit dem bluescreen INTERNAL_POWER_ERROR auf demdesktop erscheint. Problemsignatur: Problemereignisname: BlueScreen Betriebsystemversion: 6.1.7600.2.0.0.768.11 Gebietsschema-ID: 1031 Zusatzinformationen zum Problem: BCCode: a0 BCP1: 00000001 BCP2: 00000006 BCP3: 852DCC70 BCP4: 00000000 OS Version: 6_1_7600 Service Pack: 0_0 Product: 768_1 Dateien, die bei der Beschreibung des Problems hilfreich sind: C:\Windows\Minidump\042311-40466-01.dmp C:\Users\antonology\AppData\Local\Temp\WER-65941-0.sysdata.xml Lesen Sie unsere Datenschutzbestimmungen online: hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407 Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline: C:\windows\system32\de-DE\erofflps.txt ---------------------------------------------------------------- in einem anderen forum wird geraten die powercfg /hibernate /size <size% von size 75 auf size100 zu verändern, allerdings weiss ich nicht wie und auch nicht was es bedeutet. hier noch ein sample vom bluescreen Zitat:
|
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Also auf meinen eigenen dateien kann ich noch zugreifen...eigentlich kann ich auf alles zugreifen. auf etwas bestimmtes vielleicht? und leider funzt das tool tdsskiller nicht. auch wenn ichs als admin ausführe gibts nach 80% initialisierung eine fehlermeldung und erbrichts ab. obwohl ich alles im hintergrund gestoppt habe :( |
unhide.exe ausgeführt. hier ist das sichtbar gewordene log 2011/04/24 12:54:24.0899 3224 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 2011/04/24 12:54:26.0302 3224 ================================================================================ 2011/04/24 12:54:26.0302 3224 SystemInfo: 2011/04/24 12:54:26.0302 3224 2011/04/24 12:54:26.0302 3224 OS Version: 6.1.7600 ServicePack: 0.0 2011/04/24 12:54:26.0302 3224 Product type: Workstation 2011/04/24 12:54:26.0303 3224 ComputerName: ANTONOLOGY_HQ 2011/04/24 12:54:26.0303 3224 UserName: antonology 2011/04/24 12:54:26.0303 3224 Windows directory: C:\windows 2011/04/24 12:54:26.0303 3224 System windows directory: C:\windows 2011/04/24 12:54:26.0303 3224 Processor architecture: Intel x86 2011/04/24 12:54:26.0303 3224 Number of processors: 2 2011/04/24 12:54:26.0303 3224 Page size: 0x1000 2011/04/24 12:54:26.0304 3224 Boot type: Normal boot 2011/04/24 12:54:26.0304 3224 ================================================================================ 2011/04/24 12:54:33.0917 3224 !crdlk |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board