|
Log-Analyse und Auswertung: Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.05.2012, 12:45 | #1 |
| Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml) Liebe Community, nachdem ich schon öfters in eurem Forum gelesen habe, hab ich mich nun nach etwa einem halben Jahr endlich entschlossen zu registrieren und mir bei euch wie viele andere auch Hilfe zu suchen! Zur Situation: Habe den PC bereits zwei mal formatiert, die Symptomatik bleibt gleich! Problemsymptomatik: Seit ich zufälligerweise und vor allem unvorsichtigerweise auf einen Link bei Facebook geklickt habe habe ich das Problem, dass sich mein Rechner immer wieder mit Bluescreen beendet: Problemsignatur: Problemereignisname: BlueScreen Betriebsystemversion: 6.1.7600.2.0.0.768.3 Gebietsschema-ID: 1031 Zusatzinformationen zum Problem: BCCode: d1 BCP1: 00000064 BCP2: 00000002 BCP3: 00000000 BCP4: 91280D54 OS Version: 6_1_7600 Service Pack: 0_0 Product: 768_1 Dateien, die bei der Beschreibung des Problems hilfreich sind: C:\Windows\Minidump\050612-44195-01.dmp C:\Users\******\AppData\Local\Temp\WER-63570-0.sysdata.xml Lesen Sie unsere Datenschutzbestimmungen online: hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407 Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline: C:\Windows\system32\de-DE\erofflps.txt Computer"anamnese": Acer Aspire 5935G Windows 7 Intel Core Duo 2533 Mhz Nvidea Geforce 240M 4 Gig Ram Müsst ihr hier mehr wissen oder ergibt sich das aus den folgenden Logfiles? DDS.txt: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.7600.16385 Run by Martin at 13:11:31 on 2012-05-06 Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.2490.1130 [GMT 2:00] . SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe -k RPCSS C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe C:\Windows\system32\taskhost.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\igfxpers.exe C:\Windows\system32\igfxsrvc.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac C:\Program Files\ArcSoft\TotalMedia 3.5\TMMonitor.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\System32\svchost.exe -k LocalServicePeerNet C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\sppsvc.exe C:\Windows\System32\svchost.exe -k secsvcs C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\vssvc.exe C:\Windows\System32\svchost.exe -k swprv C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\conhost.exe . ============== Pseudo HJT Report =============== . BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~1\micros~2\office14\GROOVEEX.DLL BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~2\office14\URLREDIR.DLL mRun: [IgfxTray] c:\windows\system32\igfxtray.exe mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe mRun: [Persistence] c:\windows\system32\igfxpers.exe mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [BCSSync] "c:\program files\microsoft office\office14\BCSSync.exe" /DelayServices mRun: [ArcSoft Connection Service] c:\program files\common files\arcsoft\connection service\bin\ACDaemon.exe mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray mRunOnce: [ Malwarebytes Anti-Malware ] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\tmmoni~1.lnk - c:\program files\arcsoft\totalmedia 3.5\TMMonitor.exe mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5) mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: An OneNote s&enden - c:\progra~1\micros~2\office14\ONBttnIE.dll/105 IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~2\office14\EXCEL.EXE/3000 IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office14\ONBttnIE.dll IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab TCP: DhcpNameServer = 192.168.1.1 TCP: Interfaces\{23BF61E3-20AD-4306-A565-633CAD63A720} : DhcpNameServer = 192.168.1.1 Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL Notify: igfxcui - igfxdev.dll SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\progra~1\micros~2\office14\GROOVEEX.DLL . ================= FIREFOX =================== . FF - ProfilePath - c:\users\martin\appdata\roaming\mozilla\firefox\profiles\wbtdx57z.default\ FF - plugin: c:\progra~1\micros~2\office14\NPAUTHZ.DLL FF - plugin: c:\progra~1\micros~2\office14\NPSPWRAP.DLL FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\program files\pando networks\media booster\npPandoWebPlugin.dll FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll . ============= SERVICES / DRIVERS =============== . R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-4-4 63928] R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-5-6 654408] R3 b57nd60x;Broadcom NetXtreme-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-5-6 22344] R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168] R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2012-5-5 66080] R3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000] S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-4-5 158856] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-5-5 257696] S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [2012-5-5 24504] S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\microsoft office\office14\GROOVE.EXE [2010-3-25 30969208] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-5-5 129976] S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [2009-7-13 37280] S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [2010-7-1 188392] S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [2010-7-1 32872] . =============== Created Last 30 ================ . 2012-05-06 09:07:11 -------- d-----w- c:\users\martin\appdata\roaming\Malwarebytes 2012-05-06 09:06:58 22344 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-05-06 09:06:58 -------- d-----w- c:\programdata\Malwarebytes 2012-05-06 09:06:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2012-05-06 08:53:35 388096 ----a-r- c:\users\martin\appdata\roaming\microsoft\installer\{45a66726-69bc-466b-a7a4-12fcba4883d7}\HiJackThis.exe 2012-05-06 08:53:35 -------- d-----w- c:\program files\Trend Micro 2012-05-05 18:52:26 -------- d-----w- c:\users\martin\appdata\local\Programs 2012-05-05 18:20:13 18688 ----a-w- c:\windows\system32\drivers\afc.sys 2012-05-05 18:20:10 -------- d-----w- c:\users\martin\appdata\local\ArcSoft 2012-05-05 18:20:09 -------- d-----w- c:\programdata\ArcSoft 2012-05-05 18:19:54 348160 ----a-w- c:\windows\system32\msvcr71.dll 2012-05-05 18:19:53 499712 ----a-r- c:\windows\system32\msvcp71.dll 2012-05-05 18:19:53 245408 ----a-w- c:\windows\system32\unicows.dll 2012-05-05 18:19:36 77824 ----a-w- c:\program files\common files\installshield\engine\6\intel 32\ctor.dll 2012-05-05 18:19:36 614532 ----a-w- c:\program files\common files\installshield\engine\6\intel 32\IKernel.exe 2012-05-05 18:19:36 32768 ------w- c:\program files\common files\installshield\engine\6\intel 32\objectps.dll 2012-05-05 18:19:36 225280 ------w- c:\program files\common files\installshield\iscript\iscript.dll 2012-05-05 18:19:36 176128 ------w- c:\program files\common files\installshield\engine\6\intel 32\iuser.dll 2012-05-05 16:22:45 -------- d-----w- c:\program files\Microsoft Synchronization Services 2012-05-05 16:22:32 -------- d-----w- c:\windows\PCHEALTH 2012-05-05 16:22:32 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition 2012-05-05 16:21:55 -------- d-----w- c:\program files\Microsoft Visual Studio 8 2012-05-05 16:21:26 -------- d-----w- c:\program files\Microsoft Analysis Services 2012-05-05 16:21:13 -------- d-----w- c:\users\martin\appdata\local\Microsoft Help 2012-05-05 15:09:16 -------- d-----w- c:\users\martin\appdata\roaming\LolClient 2012-05-05 14:49:07 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll 2012-05-05 14:49:07 509448 ----a-w- c:\windows\system32\XAudio2_2.dll 2012-05-05 14:49:07 467984 ----a-w- c:\windows\system32\d3dx10_39.dll 2012-05-05 14:49:07 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll 2012-05-05 14:49:07 1493528 ----a-w- c:\windows\system32\D3DCompiler_39.dll 2012-05-05 14:45:47 -------- d-----w- C:\Riot Games 2012-05-05 13:54:32 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-05-05 13:54:32 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-05-05 13:51:01 -------- d-----w- c:\program files\CCleaner 2012-05-05 13:46:02 -------- d-----w- c:\users\martin\appdata\local\PMB Files 2012-05-05 13:46:01 -------- d-----w- c:\programdata\PMB Files 2012-05-05 13:45:53 -------- d-----w- c:\program files\Pando Networks 2012-05-05 13:19:42 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{693c88d6-dfd5-4e88-9f7f-8e1ab8d70edd}\offreg.dll 2012-05-05 13:09:14 -------- d-----w- c:\users\martin\appdata\local\ESL Wire Game Client 2012-05-05 13:08:47 836496 ----a-w- c:\windows\system32\drivers\ESLWireACD.sys 2012-05-05 13:08:44 24504 ----a-w- c:\windows\system32\drivers\ESLvnic.sys 2012-05-05 13:05:37 -------- d-----w- c:\users\martin\appdata\roaming\TS3Client 2012-05-05 13:05:18 -------- d-----w- c:\program files\TeamSpeak 3 Client 2012-05-05 12:24:34 -------- d-----w- c:\program files\common files\Steam 2012-05-05 12:19:29 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{693c88d6-dfd5-4e88-9f7f-8e1ab8d70edd}\mpengine.dll 2012-05-05 12:19:28 237072 ------w- c:\windows\system32\MpSigStub.exe 2012-05-05 12:11:57 -------- d-----w- c:\users\martin\appdata\local\Adobe 2012-05-05 12:10:50 -------- d-----r- c:\program files\Skype 2012-05-05 10:55:33 -------- d-----w- c:\windows\Panther 2012-05-05 10:32:20 53248 ----a-w- c:\windows\system32\CSVer.dll 2012-05-05 10:32:15 -------- d-----w- C:\Intel 2012-05-05 10:30:14 584296 ----a-w- c:\windows\system32\nvuninst.exe 2012-05-05 10:28:59 452200 ----a-w- c:\windows\system32\d3dx10_40.dll 2012-05-05 10:22:27 -------- d-sh--w- c:\windows\Installer 2012-05-05 10:22:26 -------- d-----w- c:\programdata\NVIDIA Corporation 2012-05-05 10:22:25 -------- d-----w- c:\program files\NVIDIA Corporation 2012-05-05 10:17:54 -------- d-----w- c:\programdata\DriverGenius 2012-05-05 10:12:26 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe 2012-05-05 10:12:26 57856 ----a-w- c:\windows\system32\rdpwsx.dll 2012-05-05 10:12:26 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll 2012-05-05 10:12:25 826368 ----a-w- c:\windows\system32\rdpcore.dll 2012-05-05 10:12:25 24064 ----a-w- c:\windows\system32\drivers\tdtcp.sys 2012-05-05 10:12:25 177152 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-05-05 10:12:25 132608 ----a-w- c:\windows\system32\cabview.dll 2012-05-05 10:12:01 -------- d-----w- c:\windows\system32\wbem\Performance . ==================== Find3M ==================== . . ============= FINISH: 13:11:44,17 =============== Malwarescan mit Malwarebytes:(unauffällig) Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.06.02 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 Martin :: MARTIN-PC [Administrator] Schutz: Aktiviert 06.05.2012 11:16:54 mbam-log-2012-05-06 (11-16-54).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 265265 Laufzeit: 30 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Anhang: Hänge als ZIP Datei die geforderten GMER und ATTACH an Mir als Leihe fällt bei dem GMER Scan auf: ? C:\Users\Martin\AppData\Local\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! Merkwürdig oder? Sollte ich irgendetwas vergessen oder falsch gemacht haben weißt mich bitte direkt daraufhin, ich werde es umgehend versuhcen zu ändern. Vielen Dank im Voraus! Mit freundlichen Grüßen Grautvornix |
06.05.2012, 19:20 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml) Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
__________________Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ |
06.05.2012, 20:08 | #3 |
| Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml) Hi!
__________________Leider hatte ich den PC formatiert wie oben geschrieben: "Zur Situation: Habe den PC bereits zwei mal formatiert, die Symptomatik bleibt gleich!" Habe das gemacht weil ich alle bisherigen Virenprobleme immer so in den Griff bekommen habe die letzten Jahre (bei andere Rechnern) Daher leider nichts mehr zu finden... |
07.05.2012, 09:29 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml) Wenn du komplett neu installiert hast, kann man ein Schädingsproblem ja schon ausschließen, also ich würde nicht an dieser Stelle suchen Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Verdacht auf Trojaner (050612-44195-01.dmp; WER-63570-0.sysdata.xml) |
32 bit, acrobat update, administrator, adobe, bluescreen, browser, dateisystem, defender, dll, document, explorer, firefox, flash player, geforce, helper, heuristiks/extra, heuristiks/shuriken, hijack, hilfreich, home, hook, minidump, mozilla, nvidia, realtek, rundll, svchost.exe, teamspeak, temp, trojaner, vista, vista 32 bit, visual studio, windows, windows 7 home |