Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Windows 7 Internet langsam/blockiert Malware? (https://www.trojaner-board.de/93155-windows-7-internet-langsam-blockiert-malware.html)

maxschaf 23.11.2010 20:32
Windows 7 Internet langsam/blockiert Malware?
 
Liebes Forumteam,

habe ein großes Problem.
Win7, Netzwerk funktioniert normal, Internet reagiert google.com normal schnell, aber alle anderen Seiten laden nur gleich nach dem reboot und dann lädt der browser (egal ob IE8 und FF) ewig ohne weiterzukommen.

Habe bereits malwarebytes, superantispyware, antivir premium, spybot, mbr, navilog und weitere ohne ergebnis durchlaufen lassen.

gmer liegt bei, combofix hat etwas getan, dann kam frage "bcd blabla, wiederherstellen? ja, nein" - mit ja beantwortet.

was könnte ich noch machen?

danke

Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-23 20:12:44
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 FUJITSU_ rev.0084
Running: gmer.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\ugldqpow.sys


---- System - GMER 1.0.15 ----

SSDT            929D02D3                                                                                                                                              ZwLoadDriver
SSDT            929D02D8                                                                                                                                              ZwSetSystemInformation
SSDT            929D0297                                                                                                                                              ZwTerminateProcess
SSDT            929D0292                                                                                                                                              ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                                                                        82C5D599 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                                82C81F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          ntkrnlpa.exe!RtlSidHashLookup + 45C                                                                                                                    82C8996C 4 Bytes  [D3, 02, 9D, 92] {ROL DWORD [EDX], CL; POPF ; XCHG EDX, EAX}
.text          ntkrnlpa.exe!RtlSidHashLookup + 768                                                                                                                    82C89C78 4 Bytes  [D8, 02, 9D, 92] {FADD DWORD [EDX]; POPF ; XCHG EDX, EAX}
.text          ntkrnlpa.exe!RtlSidHashLookup + 7B8                                                                                                                    82C89CC8 4 Bytes  [97, 02, 9D, 92]
.text          ntkrnlpa.exe!RtlSidHashLookup + 82C                                                                                                                    82C89D3C 4 Bytes  [92, 02, 9D, 92]
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                                                    B17A0000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                                                    B17A0123 629 Bytes  [B5, 79, B1, FE, 05, 34, B5, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                                                    B17A0399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                                                    B17A03FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 543B                                                                                                                    B17A04AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE            ...                                                                                                                                                   

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Mozilla Firefox\firefox.exe[4460] ntdll.dll!LdrLoadDll                                                                                76F4F625 5 Bytes  JMP 013213F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]    [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]      [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]      [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]    [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]    [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]    [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Microsoft SQL Server\MSSQL10.VETERA\MSSQL\Binn\sqlservr.exe[2184] @ C:\Windows\system32\ole32.dll [ntdll.dll!EtwRegisterTraceGuidsW]  [6D45B0C6] C:\Windows\AppPatch\AcXtrnal.dll (Windows Compatibility DLL/Microsoft Corporation)
IAT            c:\Program Files\Lenovo\System Update\SUService.exe[3124] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                              [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Lenovo\System Update\SUService.exe[3124] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Lenovo\System Update\SUService.exe[3124] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                              [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Lenovo\System Update\SUService.exe[3124] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                            [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            c:\Program Files\Lenovo\System Update\SUService.exe[3124] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                              [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3360] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                                  [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3360] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                                  [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3360] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                                [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Windows\System32\rundll32.exe[3360] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                                [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe[3480] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                        [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe[3480] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                          [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe[3480] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                      [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT            C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe[3480] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                        [74F95E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000051                                                                                                                      halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                                                                fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:4656]                                                                                                                                        B17ADF2E

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001f3ad3f68b                                                                           
Reg            HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dca0c4                                                                           
Reg            HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001f3ad3f68b (not active ControlSet)                                                       
Reg            HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dca0c4 (not active ControlSet)                                                       

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                                                                  sector 09: copy of MBR

---- Files - GMER 1.0.15 ----

File            C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\tbh82glw.default\cookies.sqlite-journal                                                5672 bytes
File            C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\tbh82glw.default\parent.lock                                                          0 bytes
File            C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\tbh82glw.default\sessionstore.bak                                                      3392 bytes
File            C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\tbh82glw.default\sessionstore.js                                                      0 bytes

---- EOF - GMER 1.0.15 ----

cosinus 23.11.2010 21:11
Zitat:
dann kam frage "bcd blabla, wiederherstellen? ja, nein" - mit ja beantwortet.
Wenn du überall, wie bei so heiklen Tools wie CF (das man wohlgemerkt nicht auf eigene Faust ausführen sollte!!), nur ein blabla liest und alles mit ja abnickst, wieso wunderst du dich dann noch Probleme?:stirn:

Zitat:
aber alle anderen Seiten laden nur gleich nach dem reboot und dann lädt der browser (egal ob IE8 und FF) ewig ohne weiterzukommen
Und seit wann ist das so? Router mal neugestartet, sofern du einen hast?

maxschaf 23.11.2010 22:11
Zitat:
Wenn du überall, wie bei so heiklen Tools wie CF (das man wohlgemerkt nicht auf eigene Faust ausführen sollte!!), nur ein blabla liest und alles mit ja abnickst, wieso wunderst du dich dann noch Probleme?
:) das problem bestand natürlich bereits davor, "blabla" deshalb, weil ich mich an den genauen wortlaut nicht mehr erinnern kann.
combofix war gerade dabei, den rechner neu zu starten, nachdem die sitzung von combofix ohne gestartetem explorer beendet war.
da kam der hinweis in einer eigenen messagebox, ob BCD ( win6 bootloader ) wiederhergestellt werden soll [in \Device\Harddisk0\DR0 wenn ich mich recht erinnere]. wusste nicht, ob das ein dialog von combofix ist (da ja nicht innerhalb der konsole) oder einer "meiner" malware, bestätigte aber "sicherheitshalber" mit ja.
habe combofix verwendet, da es hier in mehreren threads bei ähnlichen problemen half, wo malwarebytes und co wenig resultate lieferten.

am router liegts nicht, anderer rechner geht normal, ortwechsel auch probiert.

ich habe diesen satz im 1. post schlecht formuliert:
nach dem boot von windows kann ich wenige sekunden in IE und FF normal surfen (google, chip) und danach bleibt der browser in einem unendlichen laden stehen (ladesymbol dreht sich, aber kein datenverkehr). Netzwerk (SMB) funktioniert normal, antivir updates gehen auch normal, google.com funktioniert, alles sehr merkwürdig.

installiere gerade einen networksniffer, einmal schauen, was da genau passiert.

jemand einen ähnlichen fall bereits gehabt? vielleicht eine idee?

vielen danke!

maxschaf 23.11.2010 23:45
so, aus welchem grund auch immer, jetzt gehts über LAN kabel normal, über wifi wie beschrieben...

danke für die mühen, kann momentan geschlossen werden :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131