Hi ihr,
erstmal schildere ich euch die Ereignisse warum ich überhaupt mein System gescannt habe und ich nicht weiß mit welchen Infos ihr was anfangen könnt.
Mbam & Gmer Logs sind auch unten.
Es fing damit an, das wenn ich in FF eine Seite öffnen wollte, diese im ersten Anlauf nie erreichbar war:
Fehler: Server nicht gefunden Egal bei welcher Seite. Immer erst durch Refresh bzw. bei klick auf den Button "Nochmals Versuchen".
Gut, nichts dabei gedacht, evtl. spinnt der Router mal wieder oder so ähnlich.
Dann wollte ich ein bisschen WoW (World of Warcraft) zocken.
Launcher startet -> klick auf "Spielen" -> Spiel startet nicht, ist aber in den Prozessen vorhanden -> Prozess beenden -> komplettes Internet stürzt ab!
Allerdings hatte ich immenroch eine Verbindung zum Router (laut Windows).
Gut, PC neugestartet, immernoch keine Verbindung. Problembehandlung zeigt Fehler beim DNS-Server an. Router aus-und angesteckt. Standardprozedur halt. Inet ging wieder.
Das ganze habe ich 5mal versucht, immer mit dem selben ergebniss.
Ich dachte mir nur: "Irgendwas kann da nicht stimmen. Es kann doch nicht sein das WoW nicht startet und dann auch noch das komplette Inet so krass zum absturz bringt das echt gar nichts mehr geht außer router neustarten!"
Auch wenn solche spiele immer mal wieder Probleme mit sich bringen, DAS war nicht normal und ich war mir sicher das es nicht am Spiel lag.
Es war so als würde irgendwas meine Leitung verstopfen und WoW würde dann das Fass zum überlaufen bringen.
Habe dann WoW neuinstalliert, ganze 3 mal, da der downloader das selbe verursacht hat bzw. noch merkwürdiger: Der Downloader hatte ne Verbindung aber es gingen wieder keine Seiten und Windows selber hat auch wieder angezeigt das keine Verbindung zum Inet besteht.
Irgendwann habe ich es geschafft das das Spiel wieder drauf war.
Beim Einloggen kam dann diese Meldung: Battel.net (Accountsystem des Spiels) hat merkwürdigkeiten bei ihrer Internetverbindung festgestellt! Bitte ändern sie umgehend ihr Passwort, da wir von einem Hackerangriff ausgehen müssen!
Tja, Mbam durchlaufen lassen, 2 Funde.
Habe dann auch Gmer durchlaufen lassen, welches ich bei euch im Forum gefunden habe.
Alledings kann ich mit der Log absolut nichts anfangen.
Ich möchte euch nun bitten die Logs mal durch zu sehen ob ihr noch was findet.
Vielen Dank
€dit: Ok, noch etwas merkwürdiges. Habe gerade gelesen das gmer anschlagen würde wenn etwas nicht stimmt.
Ich habe aber gmer vor mbam durchlaufen lassen. gmer hat nichts angezeigt, mbam hat 2 funde. wie geht das?
mbam log:
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6071
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
16.03.2011 12:40:12
mbam-log-2011-03-16 (12-40-12).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 252159
Laufzeit: 38 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\Schizo\AppData\Local\Mozilla\Firefox\Profiles\pmnmke6w.default\Cache\da761e44d01 (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\Users\Schizo\AppData\Local\Temp\RarSFX0\files\Report\report.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
|
gmer log
GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-16 02:11:21
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9160821AS rev.3.ALB
Running: 2bcd0gfc.exe; Driver: C:\Users\Schizo\AppData\Local\Temp\pxryqpod.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 82C50589 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82C75092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? System32\Drivers\spya.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 90526CA0 5 Bytes JMP 855AE4E0
.text asfjjwlp.SYS 92046000 12 Bytes [44, 28, 02, 83, EE, 26, 02, ...] {INC ESP; SUB [EDX], AL; SUB ESI, 0x26; ADD AL, [EBX-0x7cfdf860]}
.text asfjjwlp.SYS 9204600D 9 Bytes [07, 02, 83, 48, 2B, 02, 83, ...] {POP ES; ADD AL, [EBX-0x7cfdd4b8]; ADD [EAX], AL}
.text asfjjwlp.SYS 92046017 20 Bytes [00, DE, D7, 19, 8B, E6, D5, ...]
.text asfjjwlp.SYS 9204602C 20 Bytes [00, 00, 00, 00, C0, B1, C4, ...]
.text asfjjwlp.SYS 92046041 128 Bytes [56, C7, 82, 60, 55, C7, 82, ...]
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8B0A1042] \SystemRoot\System32\Drivers\spya.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8B0A16D6] \SystemRoot\System32\Drivers\spya.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8B0A1800] \SystemRoot\System32\Drivers\spya.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8B0A113E] \SystemRoot\System32\Drivers\spya.sys
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortNotification] 00147880
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortStallExecution] C25DC033
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortWritePortUchar] 458B0008
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortWritePortUlong] 6A006A08
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 50056A24
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 005AB7E8
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortGetScatterGatherList] 0001B800
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortGetParentBusType] C25D0000
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortRequestCallback] CCCC0008
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortWritePortBufferUshort] CCCCCCCC
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortGetUnCachedExtension] CCCCCCCC
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortCompleteRequest] CCCCCCCC
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortCopyMemory] 53EC8B55
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortEtwTraceLog] 800C5D8B
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 7500117B
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 127B806A
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 80647500
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7500137B
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortInitialize] 157B805E
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortGetDeviceBase] 56587500
IAT \SystemRoot\System32\Drivers\asfjjwlp.SYS[ataport.SYS!AtaPortDeviceStateChange] 8008758B
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8557E1F8
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
Device \Driver\volmgr \Device\VolMgrControl 855791F8
Device \Driver\usbuhci \Device\USBPDO-0 855B6500
Device \Driver\usbuhci \Device\USBPDO-1 855B6500
Device \Driver\usbuhci \Device\USBPDO-2 855B6500
Device \Driver\usbehci \Device\USBPDO-3 8671F500
Device \Driver\usbuhci \Device\USBPDO-4 855B6500
Device \Driver\sptd \Device\520333263 spya.sys
Device \Driver\usbuhci \Device\USBPDO-5 855B6500
Device \Driver\NetBT \Device\NetBT_Tcpip_{73CCDB66-42F5-4F07-9928-F3D6DCE6595F} 866E61F8
Device \Driver\usbuhci \Device\USBPDO-6 855B6500
Device \Driver\volmgr \Device\HarddiskVolume1 855791F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\usbehci \Device\USBPDO-7 8671F500
Device \Driver\cdrom \Device\CdRom0 866391F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8557B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8557B1F8
Device \Driver\atapi \Device\Ide\IdePort1 8557B1F8
Device \Driver\atapi \Device\Ide\IdePort2 8557B1F8
Device \Driver\atapi \Device\Ide\IdePort3 8557B1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 8557B1F8
Device \Driver\msahci \Device\Ide\PciIde0Channel0 8557C1F8
Device \Driver\msahci \Device\Ide\PciIde0Channel1 8557C1F8
Device \Driver\msahci \Device\Ide\PciIde0Channel4 8557C1F8
Device \Driver\msahci \Device\Ide\PciIde0Channel5 8557C1F8
Device \Driver\cdrom \Device\CdRom1 866391F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{05181EF6-8FA4-424B-B3F0-8DA99708DC3C} 866E61F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 866E61F8
Device \Driver\PCI_PNP3262 \Device\0000005c spya.sys
Device \Driver\ACPI_HAL \Device\0000004f halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 855B6500
Device \Driver\usbuhci \Device\USBFDO-1 855B6500
Device \Driver\usbuhci \Device\USBFDO-2 855B6500
Device \Driver\usbehci \Device\USBFDO-3 8671F500
Device \Driver\usbuhci \Device\USBFDO-4 855B6500
Device \Driver\usbuhci \Device\USBFDO-5 855B6500
Device \Driver\usbuhci \Device\USBFDO-6 855B6500
Device \Driver\usbehci \Device\USBFDO-7 8671F500
Device \Driver\asfjjwlp \Device\Scsi\asfjjwlp1Port8Path0Target0Lun0 8697C1F8
Device \Driver\JMCR \Device\Scsi\JMCR1 86732500
Device \Driver\JMCR \Device\Scsi\JMCR2 86732500
Device \Driver\JMCR \Device\Scsi\JMCR3 86732500
Device \Driver\JMCR \Device\Scsi\JMCR4 86732500
Device \Driver\asfjjwlp \Device\Scsi\asfjjwlp1 8697C1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1B 0xF1 0xDC 0xD4 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x91 0x7B 0x1D 0x97 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x19 0xA1 0xA5 0x0D ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1B 0xF1 0xDC 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x91 0x7B 0x1D 0x97 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x19 0xA1 0xA5 0x0D ...
---- EOF - GMER 1.0.15 ----
--- --- ---
