hallo... bin neu hier und ich hoffe, ich bin hier richtig mit meinem Anliegen.

Ich hatte am letzten Sonntag innerhalb von 12 Stunden zwei Blue Screens auf meinem Dell Laptop, ein Windows Vista Home Pro system.

Die beiden Blue-Screen-Probleme sind aufgetreten, als ich mit dem Browser Google Chrome im Internet war. Das System schien zunächst wie eingefroren, bevor die Bluescreens auftauchten.

Die letzten 3-4 Jahre lief der Rechner problemlos. Er ist via Wlan in ein kleines Computernetzwerk eingebunden, das mit einer FritzBox und 16.000er DSL-Flatrate (Provider 1-und-1) ans Internet angeschlossen ist.

Auf dem Rechner laufen ständig mit als Virenscanner und Antimalware: Avira und Malwarebytes. Die Database-Versionen werden täglich aktualisiert. Das Windows Vista selbst ist auf aktuellstem Stand, mit allen Microsoft-(Security-)-Updates.

Die beiden BlueScreen-Meldungen mit den abfotographierten Meldungen:

(1) Kernel_Data_Inpage_Error
Stop: 0x0000007A (0xC06D7C90, 0xC0000056, 0x417438C0, 0xDAF924F4)
(Direkter Link zum Screenshot auf Dropbox: hxxp://bit.ly/1uQVPo4 )

(2) win32k.sys
Adress 9FEF524F base at 9FE60000, Datestamp 53f7d198
Stop: 0x0000008E (0xC0000005, 0x9FEF524F, 0xD433FAE0, 0x00000000)
(Direkter Link zum Screenshot auf Dropbox: hxxp://bit.ly/1qbqat2 )

Auch nach dem zweiten BlueScreen konnte ich den Rechner wieder im normalen Modus starten.

ich habe zunächst das ganze Sytsem mit Malwarebytes, Avira, MemTest (über Nacht mit mehr als 600% Testdurchlauf) und DataLifeGuard Diagnostic for Windows getestet.

Das erste Ergebnis:

(A) Arbeitsspeicher (MemTest) und WesternUnion Festplatte (DataLife) scheinen in Ordnung.
(B) Malwwarebytes hat mit 3 Scans mehr als 40 Befälle angezeigt. Diese Files wurden in Quarantäne geschickt. - Und mit CCleaner und TuneUp Utilities ist danach die Registry gereinigt worden.
(C) Avira hat nichts angezeigt.

Ich werde im Folgenden alle verfügbaren Logfiles gesondert posten, um Euch ein vollständiges Bild zu liefern, soweit mir als Laie möglich. Auch die von OTL (Oldtimer); habe das Tool bereits auf den Desktop runtergeladen, der Scan (Minimal-Ausgabe / Benutze SafeList) läuft aktuell im Administrator-Modus.

Bitte um Unterstützung, was ich als Laie tun muss, um sicherzustellen, dass das Sytem wieder stabil läuft. - Schon mal Danke im Voraus für Euren Support.

Gruß/ITS

Hallo und


Ich würde dir als erstes vorschlagen das du mal Check-Disk ausführst um deine HDD auf etwaige Fehler überprüfen zu lassen:

Dazu die Konsole als Administrator ausführen:

Klicke dazu auf "START" und tippe in das Suchfeld cmd ein:



Das obere Icon cmd.exe klickst du mit Rechtsklick an und wählst dann "Als Administrator ausführen"

In das nun offene, schwarze Fenster tippst du ein:

Code: Alles auswählenAufklappen

ATTFilter

chkdsk C: /F
         

wobei C für die Partition steht auf der Windows installiert ist (i.d.R. ist das C) und drückst Enter, wenn du gefragt wirst ob du beim nächsten mal Starten die Festplatte prüfen willst, tippst du j ein und drückst wieder Enter:


Nun reboote deinen Computer und warte die Prüfung ab. Besteht das Problem weiterhin, gib wieder Bescheid.

Gruß Dominic

Logs mit DataLifeGuard...
----------------------------------

Model Number: WDC WD5000BEVT-75ZAT0
Unit Serial Number: WD-WX70A59N4027
Firmware Number: 01.01A01
Capacity: 500.11 GB*

Test Option: QUICK TEST
SMART Status: PASS
Test Result: PASS
Test Time: 21:26:04, September 15, 2014

Test Option: EXTENDED TEST
SMART Status: PASS
Test Result: PASS
Test Time: 00:04:18, September 16, 2014

Führe auf die gleiche weise wie chkdsk folgenden Befehl aus:

Code: Alles auswählenAufklappen

ATTFilter

sfc /scannow
         

Zitat:

Zitat von tocksick

Ich würde dir als erstes vorschlagen das du mal Check-Disk ausführst um deine HDD auf etwaige Fehler überprüfen zu lassen

Hallo, Dominic ! danke für die schnelle Rückantwort. Scheint also nicht ausreichend, dass ich mit DataLifeGuard geprüft habe (siehe Log files). - Der Disk-Check ist abgeschlossen, nachfolgend das Protokoll.

Logfile von chkdsk C: /F
---------------------------------------------

Quelle: Wininit
Protokolliert: 16.09.2014 17:10:51
Ereignis-ID: 1001

Dateisystem auf C: wird überprüft.
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet OS.

Eine Datenträgerüberprüfung ist geplant. Die Datenträgerüberprüfung wird jetzt ausgeführt.

854080 Datensätze verarbeitet.
33504 große Datensätze verarbeitet.
0 ungültige Datensätze verarbeitet.
0 E/A-Datensätze verarbeitet. 104 Analysedatensätze verarbeitet.
1044056 Indexeinträge verarbeitet.
0 nicht indizierte Dateien verarbeitet.
854080 Sicherheitsbeschreibungen verarbeitet.
252 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt.
252 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt.
252 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt.
94989 Datendateien verarbeitet.

CHKDSK überprüft USN-Journal... 36293296 USN-Bytes verarbeitet.
Die Überprüfung von USN-Journal ist abgeschlossen.
Das Dateisystem wurde überprüft.
Es wurden keine Probleme festgestellt.

472985397 KB Speicherplatz auf dem Datenträger insgesamt
465505892 KB in 724965 Dateien
267828 KB in 94990 Indizes
0 KB in fehlerhaften Sektoren
980397 KB vom System benutzt
65536 KB von der Protokolldatei belegt
6231280 KB auf dem Datenträger verfügbar
4096 Bytes in jeder Zuordnungseinheit
118246349 Zuordnungseinheiten auf dem Datenträger insgesamt
1557820 Zuordnungseinheiten auf dem Datenträger verfügbar
Interne Informationen: 40 08 0d 00 fc 82 0c 00 af 33 0f 00 00 00 00 00 @........3...... 31 6d 00 00 68 00 00 00 00 00 00 00 00 00 00 00 1m..h........... 42 00 00 00 e2 73 1d 77 90 97 13 00 90 8f 13 00 B....s.w........

Die Überprüfung des Datenträgers wurde abgeschlossen. Bitte warten Sie bis der Computer neu gestartet wurde.
----------------------------

Ist die Festplatte noch in Ordnung ?


Im Folgenden auch die Scan-Ergebnisse mit Malwarebytes. Die drei Logfiles Scan 1-3:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Database version: 914091505
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
-----------------------------------------------
Scan 1: 15.09.2014 18:34:09
File: mbam-log-2014-09-15 (18-33-25)

Scan type: Full scan (C:\|D:\|)
Objects scanned: 126210
Time elapsed: 3 hour(s), 16 minute(s), 19 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 32
Registry Values Infected: 6
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{048D4DA9-81C2-4422-9726-CDE6173C0D83} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_CLASSES_ROOT\Conduit.Engine (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{048D4DA9-81C2-4422-9726-CDE6173C0D83} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D} (PUP.Optional.ConduitTB.A) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45A6-AD0B-CA289F3C5D7E} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2A42D13C-D427-4787-821B-CF6973855778} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\Toolbar3.SMTTB2009.1 (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\Toolbar3.SMTTB2009 (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\SMTTB2009.SMTTB2009.3 (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\SMTTB2009.SMTTB2009 (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Optional.SoftwareUpdater) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Optional.SoftwareUpdater) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Optional.SoftwareUpdater) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0} (PUP.Optional.Softomate.A) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D} (PUP.Optional.Softomate.A) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B} (PUP.Optional.Softomate.A) -> No action taken.
HKEY_CLASSES_ROOT\URLSearchHook.ToolbarURLSearchHook.1 (PUP.Optional.Softomate.A) -> No action taken.
HKEY_CLASSES_ROOT\URLSearchHook.ToolbarURLSearchHook (PUP.Optional.Softomate.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5} (PUP.Optional.Snapdo.T) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} (PUP.Optional.SearchProtect.A) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} (PUP.Optional.Babylon.A) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> Value: {338B4DFE-2E2C-4338-9E41-E176D497299E} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> Value: {338B4DFE-2E2C-4338-9E41-E176D497299E} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> Value: {338B4DFE-2E2C-4338-9E41-E176D497299E} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Value: {D4027C7F-154A-4066-A1AD-4243D8127440} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Value: {D4027C7F-154A-4066-A1AD-4243D8127440} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{338B4DFE-2E2C-4338-9E41-E176D497299E} (PUP.Optional.BestToolbar.A) -> Value: {338B4DFE-2E2C-4338-9E41-E176D497299E} -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\program files\conduitengine\conduitengine.dll (PUP.Optional.ConduitTB.A) -> No action taken.
c:\program files\hypercam toolbar\tbcore3.dll (PUP.Optional.BestToolbar.A) -> No action taken.
c:\Users\tech-admin\AppData\Local\swvupdater\Updater.exe (PUP.Optional.SoftwareUpdater) -> No action taken.
c:\program files\hypercam toolbar\tbhelper.dll (PUP.Optional.Softomate.A) -> No action taken.
-----------------------------------------------

Scan 2: 15.09.2014 19:44:30
mbam-log-2014-09-15 (19-44-25).txt

Scan type: Flash scan
Objects scanned: 341749
Time elapsed: 10 minute(s), 25 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\Software\Somoto Toolbar (PUP.Optional.weDownload.A) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
-----------------------------------------------

Scan 3: 15.09.2014 20:46:49
mbam-log-2014-09-15 (20-46-45).txt

Scan type: Quick scan
Objects scanned: 420054
Time elapsed: 58 minute(s), 15 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\tech-admin\downloads\bestimageconverter-setup.exe (PUP.Optional.BundleInstaller.A) -> No action taken.
+++

Zitat:

Zitat von tocksick

Führe auf die gleiche weise wie chkdsk folgenden Befehl aus:

Code: Alles auswählenAufklappen

ATTFilter

sfc /scannow
         

Dazu liegt das Ergebnis nun vor. Im zusammenfassenden Ergebnisbericht (s. Screenhot) heisst es:

"Überprüfung 91% abgeschlossen.
Der-Windows-Ressourcenschutz hat beschädgite Dateien gefunden und konnte einige der Dateien nicht reparieren."

Screenshot als Bilddatei, hier auf Dropbox: hxxp://bit.ly/1ycGxj5

(Das Original-CBS.Log-File kann als gezipptes Filer eingesehen werden: hxxp://bit.ly/1m8pXMf - Ich habe es auch mit einem Ascii-Editor (NotePad) in ein TXT-File gewandelt und als PDF hochgeladen. Hier: hxxp://bit.ly/1pikEEQ )

Mit der Kennung "File is missing" gibt es in dem Logfile keine Fehlerergebnisse. Mit der Suche nach "Cannot repair member file" gibt es ein Ergebnis:

2014-09-16 18:02:16, Info CSI 0000018d [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

2014-09-16 18:02:22, Info CSI 0000018e Hashes for file member \SystemRoot\WinSxS\x86_microsoft-windows-p..rtmonitor-tcpmonini_31bf3856ad364e35_6.0.6001.18000_none_d278d2aaa749970e\tcpmon.ini do not match actual file [l:20{10}]"tcpmon.ini" :
Found: {l:32 b:as3OOcx5px0XiJa7f7s9BVvlW/FFlKR4NMU/T+UP/Kg=} Expected: {l:32 b:ENtKeUct91LKlHclgfWTvnCdCOHHwDe+SYrPzZTTezU=}

2014-09-16 18:02:22, Info CSI 0000018f [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6001.18000, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

Hinweis: Auf dem Rechner liegen zwei tcpmon.ini Dateien, einmal im Verzeichnis:

c:\windows\system32\ und
c:\windows\winsxs\x86_microsoft_windows.... (s.o.).

Beide Dateien haben die gleiche Grösse (58kb), tragen identisch das Änderungsdatum 18.06.2009 (gleiche Uhrzeit) und gleichlautendes Erstellungsdatum: 21.01.2008 (gleiche Uhrzeit).

Wie geht's nun weiter ? :-)

Ich gehe mal davon aus, dass die HD i.O. ist. Die reparierten Einträge können aus unterschiedlichen Gründen entstanden sein, unsachgemäßes Herunterfahren, Stromausfall usw.
Trotzdem würde ich den Rechner mal der Malwarefraktion vorstellen, weil nicht alles bereinigt wurde.

Hi,

zu deinem Problem würde ich dich bitte das du dir diesen Link hier durchliest und die Scans durchführst, anschließend erstellst du bitte hier ein neues Thema.

Es ist sinnvoll das du dein System erstmal bei der Malwarefraktion vorstellst um sicherzugehen das es sich nicht um eine Schadsoftware handelt die dir hier das Leben schwer macht.

Zitat:

Zitat von tocksick

Hi,

zu deinem Problem würde ich dich bitte das du dir diesen Link hier durchliest und die Scans durchführst, anschließend erstellst du bitte hier ein neues Thema.

Es ist sinnvoll das du dein System erstmal bei der Malwarefraktion vorstellst um sicherzugehen das es sich nicht um eine Schadsoftware handelt die dir hier das Leben schwer macht.

Danke Felix und Dominic... erster Teil scheint ja geschafft. Und da Ihr nicht "Alarm schreit", werd ich die Scans morgen durchführen und mit einem neuen Topic Eurer MW-Abteilung vorstesllen.

Dann noch einen schönen Abend. Und nochmals Danke. LG/ITS

Zum Abschluss: das neue Thema ist nun hier aufgemacht:
http://www.trojaner-board.de/158818-...ml#post1360934
.