Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.09.2014, 02:49   #1
MoRtiFeR
 
Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



Hallo liebe Gemeinschaft,

ich installierte auf meinem (anderen) Rechner Windows 7 komplett neu (auf eine komplett formatierte und auf Fehler geprüfte 1 Tb HDD), da zuvor täglich 3-10 Bluescreens auftraten.
Das neu aufgesetzte System funktionierte nach einigen Standardprogramm- und Treiberinstallationen einwandfrei. Ebenso machte das offline installierte ServicePack 1 keinerlei Probleme, im Gegenteil wurde das System dadurch sogar spürbar schneller.

Erst nachdem ich eine (noch) mit Truecrypt verschlüsselte externe Festplatte anschloss und mountete und diese dann mit dem bereits zuvor installierten Malwarebytes auf Viren scannen wollte, crashte das System mit Bluescreen/Physical Memory Dump.

Das seltsame dabei ist, dass es zu keinem Systemcrash kam, als ich direkt nach der Installation und Aktualisation von Malwarebytes das frische System auf Viren scannte. Ebenso bin ich mir unsicher darin, ob dies ein Virus verursachen könnte, da dieser Crash ja erst auftrat, nachdem ich den Rechner für ein paar Updates für ca. 20-30 Minuten ans Internet angeschlossen habe.

Nachfolgend meine Systemdaten (+HWinfo-Log) und der Log von WhoCrashed:
OS: Win7 x64 Professional SP1
CPU: AMD Phenom 9950 Quadcore (2600Mhz)
GPU: nVidia Geforce GTX 660
Mainboard: ASRock K10N780SLIX3-WIFI
-Chipset: nVidia MCP72
RAM: 2x OCZ 2048MB DDR2-SDRAM 533.3 Mhz (PC2-8500)

(Alles nicht übertaktet. RAMs wurden voher einem MemCheck unterzogen, welcher fehlerfrei absolviert wurde.)

Ausführlicher HWinfo-Log und WhoCrashed-Log im htm-Format im Anhang.

Log von WhoCrashed:
Code:
ATTFilter
Crash Dump Analysis
--------------------------------------------------------------------------------

Crash dump directory: C:\Windows\Minidump

Crash dumps are enabled on your computer.

On Thu 18.09.2014 00:48:52 GMT your computer crashed
crash dump file: C:\Windows\Minidump\091814-22812-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x80640) 
Bugcheck code: 0xA (0xFFFFF800000A0048, 0x2, 0x1, 0xFFFFF80002A90898)
Error: IRQL_NOT_LESS_OR_EQUAL
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that Microsoft Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. 
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time. 



On Thu 18.09.2014 00:48:52 GMT your computer crashed
crash dump file: C:\Windows\memory.dmp
This was probably caused by the following module: mbamswissarmy.sys (MBAMSwissArmy+0x1282) 
Bugcheck code: 0xA (0xFFFFF800000A0048, 0x2, 0x1, 0xFFFFF80002A90898)
Error: IRQL_NOT_LESS_OR_EQUAL
file path: C:\Windows\system32\drivers\mbamswissarmy.sys
product:  Malwarebytes Anti-Malware 
company: Malwarebytes Corporation
description:  Malwarebytes Anti-Malware 
Bug check description: This indicates that Microsoft Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. 
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: mbamswissarmy.sys ( Malwarebytes Anti-Malware , Malwarebytes Corporation). 
Google query: Malwarebytes Corporation IRQL_NOT_LESS_OR_EQUAL




--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

2 crash dumps have been found and analyzed. A third party driver has been identified to be causing system crashes on your computer. It is strongly suggested that you check for updates for these drivers on their company websites. Click on the links below to search with Google for updates for these drivers: 

mbamswissarmy.sys ( Malwarebytes Anti-Malware , Malwarebytes Corporation)

If no updates for these drivers are available, try searching with Google on the names of these drivers in combination the errors that have been reported for these drivers and include the brand and model name of your computer as well in the query. This often yields interesting results from discussions from users who have been experiencing similar problems.


Read the topic general suggestions for troubleshooting system crashes for more information. 

Note that it's not always possible to state with certainty whether a reported driver is actually responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.
         
Es hat etwas mit Malwarebyte zu tun. Leider weiß ich nicht was, daher wäre ich dankbar dafür, könnte jemand hier diesen Log auswerten und für mich in verständlichere Sprache übersetzen.

Danke!

LG
Mortifer

EDIT: Dieser Systemcrash ist stetig erneut durch die selbe Handlung herbeizuführen. Sprich, wenn ich erneut diese eine externe Festplatte anschließe, mit Truecrypt mounte und Ordner darauf mit Malwarebyte auf Viren scannen will, crasht das System mit entsprechendem Bluescreen. Mache ich auf die selbe weise einen Virenscan auf einer anderen mit Truecrypt verschlüsselten exterenen Festplatte, crasht das System ebenso. Aber scanne ich die frische definitiv virenfreie Systempartition oder die neue mit Veracrypt verschlüsselte Partition der internen Festplatte auf die selbe weise, dann crasht das System nicht. Das ist so als wollte etwas auf diesen externen Platten, die mit dem alten sicher infizierten OS immer genutzt wurden, verhindern, dass ein Virenscan durchgeführt werden kann.

Könnte das ein Virus auf diesen externen Platten sein? Gibt es Viren, die in einen Schläfer-Zustand verfallen und dann zumindest verhindern, dass sie entdeckt werden (z.B. mit Systemcrashes), selbst wenn sie das System selber (noch) nicht infizieren können? Wie gehe ich dagegen vor? Mein jetztiges System, mit dem ich gerade ins Internet gehe, ist zu 100% Sicherheit infiziert, weshalb ich mit diesem keine erfolgsversprechende Virenscans machen kann.

Geändert von MoRtiFeR (18.09.2014 um 03:25 Uhr)

Alt 18.09.2014, 04:48   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



Hi,

haste die PLatte mal an einem anderen Rechner gescannt? Oder mit was anderem als MBAM?
__________________

__________________

Alt 18.09.2014, 05:52   #3
MoRtiFeR
 
Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



An einem anderen Rechner habe ich die Platte(n) (noch) nicht gescant, aber ich scannte sie testweise vorhin mit Avira über das neu aufgesetzte saubere System. Das ging ohne Systemcrash. Avira entdeckte etwa 24 infizierte Dateien, die ich nun genauer unter die Lupe nehmen werde. (Die Log-Datei dazu speicherte ich und folgt demnächst nach Wunsch hier)

Genauer unter die Lupe nehmen daher, da z.B. auch das Programm "Unlocker" als Virus gelistet wird, obwohl ich das frisch von Chip.de lud und ich davon ausgehe, dass Chip.de keine Viren zum Download anbietet....
__________________

Alt 18.09.2014, 16:18   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



Zitat:
obwohl ich das frisch von Chip.de
mööp, erster Fehler

Ich würde mal nach "Download bei Chip" oder "Chip Downloader" googlen

MBAM hat warscheinlich nen Macken und ist daran schuld. Mehr nit.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 20.09.2014, 21:30   #5
MoRtiFeR
 
Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



Zitat:
Ich würde mal nach "Download bei Chip" oder "Chip Downloader" googlen
Was soll damit sein? Google gibt hierzu nichts bedrohliches her.

Generell nutze ich so und so überhaupt keinen Downloader irgendeiner Seite, sei sie noch so seriös, da in solchen Downloadern alles mögliche enthalten sein kann, wie Adware oder gar Malware. Zudem ist mir das zu blöd dann dutzende Downloader wieder deinstallieren zu müssen und da ich neue Systeme generell erstmal komplett offline installiere, brauche ich auch offline installierbare Dateien. Diese bekommt man über Chip auch, wenn man auf den Link "manuelle Installation" unter dem blauen Download-Button klickt.

Alles andere wäre ja auch schwachsinnig, denn eine frische Win 7 Installation ohne AV, FW und Sicherheitsupdates ist im Internet so leicht angreifbar wie würde man nackt einfach in ein Kriegsfeld laufen.

Da hier keiner diesen Log auswerten kann/will, habe ich jetzt selber die Initiative ergriffen und analysiere erstmal über das frische System ohne Internetzugang mit Hilfe der Sandbox von Comodo die von Avira entdeckten Funde auf den externen Platten. Sollten sie sich eindeutig als Malware herausstellen, lösche ich sie. Andernfalls packe ich sie in ein verschlüsseltes Archiv, um sie erstmal für weitere Analysen unschädlich zu machen.

Wenn ich damit durch bin, scanne ich alles nochmal mit Comodo Antivirus. Sofern dann keine Viren mehr gefunden werden, werde ich den Router sicherheitshalber neu aufsetzen und darauf hin das entsprechende System nochmal komplett neu formatieren und frisch aufspielen.

Ich hoffe, dass dann Malwarebytes auch problemlos diese externen Festplatten scannen kann und zu 100% sicherheit keinerlei Schadsoftware über die externen Platten auf das frische System gelangen kann.

Zuletzt werde ich mit Hilfe einer virtuellen Maschine über Unix die zuvor sicher eingeschlossenen verdächtigen Dateien nochmal genau prüfen, also im Binärcode suchen und Online-Virenscanner nutzen.

Dann hoffe ich, dass dieser Dreck weg ist.

Zukünftig werde ich die Internetangelegenheiten auch nur noch über Unix oder VM machen, und das Wirtsystem selbst vom Internet trennen. Zudem integriere ich in meinen Router (DD-WRT firmware) eine Whitelist fürs Internet, da ich im Internet eh nur ca. 0,001% von brauche. ^^

Habe eben die Schnauze voll von diesen Idioten da draußen, die solch einen Mist (Malware/Adware und Co.) herstellen und verbreiten.

Vielleicht richte ich auch noch einen sehr betagten Rechner für das Internet ein. Wenn jemand so einen Uralt-Rechner mit unwichtigen Daten darauf hackt oder gar kaputt macht, ist mir das ziemlich Wurst, denn davon habe ich noch 3 Stück hier. :P

LG
Mortifer


Alt 21.09.2014, 09:57   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Standard

Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys



Zitat:
wenn man auf den Link "manuelle Installation" unter dem blauen Download-Button klickt.
und wieviele leute wissen das?
Das ist ne absolut beschissene Aktion von Chip mit diesem Manager, hier gibt es ca 1000 Themen mit Malware Seuche nach CHip Download.
Zitat:
Da hier keiner diesen Log auswerten kann/will,
immerhin willst du was von uns, also würde ich mal die wortwahl überdenken.....

Das ist ein Forum zum Beseitigen von Malware. hier gibt es tägliche hunderte neue Anfragen. UNd das MBAM in Version 2.0 Müll ist weiß mittlerweile auch jeder.
__________________
--> Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys

Antwort

Themen zu Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys
auswerten, brand, externe festplatte, fehler, festplatte, file, geforce, help, internet, links, malwarebytes, neu, ntoskrnl.exe, nvidia, opera, probleme, scan, software, system, system32, updates, viren, virus, windows, windows update



Ähnliche Themen: Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys


  1. Bluescreen an attempt was made to write on read only memory
    Alles rund um Windows - 09.08.2015 (12)
  2. dumping physical memory
    Alles rund um Windows - 20.06.2015 (27)
  3. win7:Bluescreen SYSTEM_THREAD_EXCEPTION_NOT_HANDLED
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (3)
  4. Win7/Bluescreen häuft sich
    Alles rund um Windows - 04.02.2015 (12)
  5. Windows fährt immer wieder herunter - WhoCrashed Analyse
    Alles rund um Windows - 28.09.2014 (1)
  6. Bluescreen dumping physical memory
    Plagegeister aller Art und deren Bekämpfung - 31.03.2014 (5)
  7. Truecrypt heimlicher physical memory fresser?
    Alles rund um Windows - 05.11.2013 (11)
  8. Alle 5-10 min. Bluescreen Win7
    Plagegeister aller Art und deren Bekämpfung - 30.08.2013 (23)
  9. Win7 - Bluescreen
    Alles rund um Windows - 27.05.2013 (4)
  10. Bluescreen beim Herunterfahren Win7
    Alles rund um Windows - 07.04.2013 (5)
  11. bluescreen in unregelmässigen abständen win7
    Log-Analyse und Auswertung - 12.05.2011 (9)
  12. Bluescreen: Fehlerabbild-Datei (Memory Dump) und/oder (Mini-Dump/CrashDump)
    Anleitungen, FAQs & Links - 01.11.2010 (1)
  13. Bluescreen unter Win7 0x000000F4
    Alles rund um Windows - 04.05.2010 (16)
  14. Hab Bluescreen unter Win7 :(
    Alles rund um Windows - 26.01.2010 (27)
  15. Bluescreen memory management
    Netzwerk und Hardware - 21.10.2009 (10)
  16. Bluescreen - Special Pool Detected Memory Coruption
    Log-Analyse und Auswertung - 25.10.2005 (2)

Zum Thema Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys - Hallo liebe Gemeinschaft, ich installierte auf meinem (anderen) Rechner Windows 7 komplett neu (auf eine komplett formatierte und auf Fehler geprüfte 1 Tb HDD), da zuvor täglich 3-10 Bluescreens auftraten. - Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys...
Archiv
Du betrachtest: Win7: Bluescreen-Physical Memory Dump - WhoCrashed-Log: mbamswissarmy.sys auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.