|
Log-Analyse und Auswertung: Windows stürzt ab. APPCRASH svchost.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.12.2010, 22:12 | #31 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Hast Du denn noch Probleme? |
20.12.2010, 19:14 | #32 |
| Windows stürzt ab. APPCRASH svchost.exe Nein, in letzter Zeit nicht.
__________________Vielen, vielen, vielen Dank, wenn es das gewesen ist |
21.12.2010, 18:12 | #33 |
| Windows stürzt ab. APPCRASH svchost.exe mh, zu früh gefreut jetzt kam gerade zweimal binnen einer Stunde die Fehlermeldung... Hier die Problemsignatur:
__________________Problemsignatur: Problemereignisname: APPCRASH Anwendungsname: svchost.exe Anwendungsversion: 6.0.6001.18000 Anwendungszeitstempel: 47918b89 Fehlermodulname: ntdll.dll Fehlermodulversion: 6.0.6002.18005 Fehlermodulzeitstempel: 49e03821 Ausnahmecode: c000071b Ausnahmeoffset: 000888f5 Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 0e02 Zusatzinformation 2: b21b56b606e7544720668ce364087082 Zusatzinformation 3: 0e02 Zusatzinformation 4: b21b56b606e7544720668ce364087082 Lesen Sie unsere Datenschutzrichtlinie: hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407 |
21.12.2010, 18:42 | #34 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exeCombofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**
|
06.01.2011, 14:02 | #35 |
| Windows stürzt ab. APPCRASH svchost.exe Sorry, dass ich nicht geantwortet habe, aber ich war jetzt zwei Wochen im Urlaub. Und war dementsprechend auch nicht an meinem Laptop. Soll ich Combo-Fix jetzt trotzdem einfach ausführen oder ersteinmal abwarten? P.S.: Ein gutes neues Jahr! |
06.01.2011, 16:51 | #36 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Ja führe es aus. |
06.01.2011, 21:45 | #37 |
| Windows stürzt ab. APPCRASH svchost.exe Combofix Logfile: Code:
ATTFilter ComboFix 11-01-06.02 - +++ 06.01.2011 21:02:10.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3069.2219 [GMT 1:00] ausgeführt von:: c:\users\+++\Desktop\Combo-Fix.exe AV: BullGuard Antivirus *Disabled/Outdated* {504FFF66-3028-EB7E-2E60-62B19ADD791C} FW: BullGuard Firewall *Disabled* {68747E43-7A47-EA26-053F-CB84640E3E67} SP: BullGuard Antispyware *Disabled/Outdated* {EB2E1E82-1612-E4F0-14D0-59C3E15A33A1} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\drv\Tuner\Yuan\Resources\_desktop.ini c:\programdata\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera c:\programdata\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk . \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected . ((((((((((((((((((((((( Dateien erstellt von 2010-12-06 bis 2011-01-06 )))))))))))))))))))))))))))))) . 2011-01-06 20:16 . 2011-01-06 20:16 -------- d-----w- c:\users\+++\AppData\Local\temp 2010-12-28 17:04 . 2010-12-28 17:05 -------- d-----w- c:\users\### 2010-12-28 16:17 . 2010-12-28 16:17 -------- d-----w- c:\users\--- 2010-12-23 20:07 . 2010-12-23 20:07 -------- d-----w- c:\program files\iPod 2010-12-23 19:41 . 2010-12-23 19:42 -------- d-----w- c:\program files\Bonjour 2010-12-09 19:11 . 2010-12-09 19:11 -------- d-----w- c:\program files\ESET . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-18 15:30 . 2010-07-08 13:59 58592 ----a-w- c:\windows\system32\drivers\BdSpy.sys 2010-11-29 16:42 . 2010-11-27 16:18 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-29 16:42 . 2010-11-27 16:18 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-11-26 18:09 . 2010-11-26 14:28 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-24 13:41 . 2010-11-23 20:16 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys 2010-11-24 13:21 . 2010-07-08 14:00 122744 ----a-w- c:\windows\system32\BdInstHk.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\users\+++\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\users\+++\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\users\+++\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216] "PLFSetL"="c:\windows\PLFSetL.exe" [2007-07-05 94208] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 768520] "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400] "Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552] "WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-10-10 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-10 8501792] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-10 81920] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] "BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2010-11-27 2074424] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552] "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160] c:\users\+++\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dropbox.lnk - c:\users\+++\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992] OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] OneNote Inhaltsverzeichnis.onetoc2 [2008-6-27 3656] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-12-26 535336] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\windows\System32\BgGamingMonitor.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsMain] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2009-04-23 13:51 691656 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp] 2006-11-05 19:48 57344 ----a-w- c:\acer\WR_PopUp\WarReg_PopUp.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R2 gupdate1ca268c62dd4ead;Google Update Service (gupdate1ca268c62dd4ead);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-26 133104] R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2010-11-24 122760] R3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2010-11-24 305032] R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000] R3 SaiHFF0C;SaiHFF0C;c:\windows\system32\DRIVERS\SaiHFF0C.sys [2007-05-01 132232] R3 SaiUFF0C;SaiUFF0C;c:\windows\system32\DRIVERS\SaiUFF0C.sys [2007-05-01 28416] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-08-02 721904] S1 afw;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2010-02-14 29208] S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2010-12-18 58592] S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688] S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2008-01-19 21504] S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2008-01-19 21504] S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2008-01-19 21504] S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2008-01-19 21504] S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2008-01-19 21504] S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2010-11-24 355720] S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664] S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2009-12-02 483688] S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcore.sys [2010-02-14 318488] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-07-22 180736] S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256] S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2009-12-02 550760] S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2009-12-02 195944] S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2009-12-02 21864] S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2009-12-02 19304] S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2009-12-02 209768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr BullGuard_Main REG_MULTI_SZ BsMain BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire BullGuard_LowPriv REG_MULTI_SZ BsBrowser . Inhalt des "geplante Tasks" Ordners 2011-01-06 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-26 20:31] 2011-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-26 20:32] 2011-01-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-26 20:32] 2011-01-06 c:\windows\Tasks\User_Feed_Synchronization-{88DDB5A1-1C9C-47D6-860F-7D3121433EE6}.job - c:\windows\system32\msfeedssync.exe [2010-08-12 04:24] 2010-12-02 c:\windows\Tasks\User_Feed_Synchronization-{D056C4A2-F8B4-49C6-A5A8-B6E3863D509B}.job - c:\windows\system32\msfeedssync.exe [2010-08-12 04:24] . . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mStart Page = about:blank uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com IE: Free YouTube to Mp3 Converter - c:\users\+++\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Save YouTube Video as MP3 LSP: c:\windows\system32\BGLsp.dll LSP: c:\windows\system32\wpclsp.dll FF - ProfilePath - c:\users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.hotmail.de FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - Ext: BullGuard Antiphishing Toolbar: antiphishing@bullguard - c:\program files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-01-06 21:16 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(828) c:\windows\System32\BgGamingMonitor.dll - - - - - - - > 'lsass.exe'(668) c:\windows\System32\BgGamingMonitor.dll . Zeit der Fertigstellung: 2011-01-06 21:19:56 ComboFix-quarantined-files.txt 2011-01-06 20:19 Vor Suchlauf: 3.600.539.648 Bytes frei Nach Suchlauf: 3.237.924.864 Bytes frei - - End Of File - - 5AF002A148EB1F7E7A22490B6D029D68 |
06.01.2011, 23:08 | #38 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Schritt 1 Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 1 Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs drivers32 /all %SYSTEMDRIVE%\*.* %systemroot%\system32\*.wt %systemroot%\system32\*.ruy %systemroot%\Fonts\*.com %systemroot%\Fonts\*.dll %systemroot%\Fonts\*.ini %systemroot%\Fonts\*.ini2 %systemroot%\system32\spool\prtprocs\w32x86\*.* %systemroot%\REPAIR\*.bak1 %systemroot%\REPAIR\*.ini %systemroot%\system32\*.jpg %systemroot%\*.scr %systemroot%\*._sy %APPDATA%\Adobe\Update\*.* %ALLUSERSPROFILE%\Favorites\*.* %APPDATA%\Microsoft\*.* %PROGRAMFILES%\*.* %APPDATA%\Update\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\ws2help.dll /md5 /md5start explorer.exe winlogon.exe wininit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
|
07.01.2011, 13:29 | #39 |
| Windows stürzt ab. APPCRASH svchost.exe Bei dem Kaspersky-Scan kam bei mir folgende Fehlermeldung: "Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab. Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: License has expired]" Und auf der Website steht: "The current Kaspersky Online Scanner is unavailable - we apologize for the inconvenience. While you are waiting for the improved Online Scanner, why not take a free trial of Kaspersky Internet Security 2011, which has everything you need to keep your computer safe." hxxp://www.kaspersky.com/virusscanner Naja, jedenfalls hab ich den OTL-Scan gemacht. Hier das Log: |
07.01.2011, 19:38 | #40 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Und wie läufts? |
07.01.2011, 19:50 | #41 |
| Windows stürzt ab. APPCRASH svchost.exe Bis jetzt einwandrei. Kann man denn sagen, dass ich jetzt "rein" bin? Und wenn ja, was hat die Probleme ausgelöst? |
07.01.2011, 19:59 | #42 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Du hattest einen Bootkit. Ein bootkit ist ein Programm, das durch Veränderung des Master Boot Record (MBR) versucht die Ausführung von Schadprogrammen (Malware) sicherzustellen. Ein bootkit versucht auch, die eigene Entdeckung und Entfernung durch Versteckten seines eigenen Code im MBR zu verhindern. Schritt 1 System mit Windows-eigenen Mitteln bereinigen Datenträger bereinigen
Temporäre Ordner bereinigen
IE Cache leeren
Firefox Cache leeren
Temporäre Java-Dateien löschen
Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung. Schritt 2 BitDefender QuickScan
|
07.01.2011, 20:23 | #43 |
| Windows stürzt ab. APPCRASH svchost.exe Bei einigen Dateien in den Temp-Ordner kam beim Löschen die Meldung, dass der Zugriff auf den Zielordner verweigert wurde und dass ich Berechtigungen zum Durchführen des Vorgangs brauche. QuickScan Beta 32-bit v0.9.9.52 ------------------------------- Überprüfungsdatum: Fri Jan 07 20:16:34 2011 Computer ID: 9479E17B Q:\140061.deu\Office14\WINWORD.EXE - zugriff nicht möglich Q:\140061.deu\Office14\POWERPNT.EXE - zugriff nicht möglich Keine Infizierungen gefunden. ----------------------------- Prozesse -------- Acer eRecovery Management 4312 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe Betriebssystem Microsoft® Windows® 3832 C:\Program Files\Windows Media Player\wmpnscfg.exe Betriebssystem Microsoft® Windows® 4028 C:\Windows\explorer.exe Betriebssystem Microsoft® Windows® 4020 C:\Windows\System32\dwm.exe Betriebssystem Microsoft® Windows® 3924 C:\Windows\System32\rundll32.exe Betriebssystem Microsoft® Windows® 2748 C:\Windows\System32\rundll32.exe Betriebssystem Microsoft® Windows® 3864 C:\Windows\System32\taskeng.exe BullGuard 3988 C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe Dropbox 5536 C:\Users\+++\AppData\Roaming\Dropbox\bin\Dropbox.exe eDataSecurity 1172 C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe Firefox 3508 C:\Program Files\Mozilla Firefox\firefox.exe Google Chrome 488 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5292 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5312 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4828 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 1836 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 2332 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5608 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5632 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5672 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 5924 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 3780 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 1644 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4184 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4472 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4740 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4812 C:\Program Files\Google\Chrome\Application\chrome.exe Google Chrome 4900 C:\Program Files\Google\Chrome\Application\chrome.exe GrooveMonitor Utility 3628 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe HD Audio Control Panel 1340 C:\Windows\RtHDVCpl.exe ICQ 5404 C:\Program Files\ICQ6.5\ICQ.exe iTunes 3800 C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Platform SE Auto Updater 2 0 1112 C:\Program Files\Common Files\Java\Java Update\jusched.exe Microsoft Office 2010 2848 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Microsoft Office OneNote 1636 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Microsoft® Windows® Operating System 3564 C:\Windows\ehome\ehmsas.exe Microsoft® Windows® Operating System 3784 C:\Windows\ehome\ehtray.exe Microsoft® Windows® Operating System 3788 C:\Windows\System32\wuauclt.exe Microsoft® Windows®-Betriebssystem 3600 C:\Windows\WindowsMobile\wmdSync.exe OFFICEVIRT.EXE 3104 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\OFFICEVIRT.EXE RAID Event Monitor 2680 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe Realtek HD Audio Data Rerouter 4480 C:\Users\+++~1\AppData\Local\temp\RtkBtMnt.exe Synaptics Pointing Device Driver 3512 C:\Program Files\Synaptics\SynTP\SynTPStart.exe Windows 3612 C:\Windows\System32\wpcumi.exe Windows Defender 5812 C:\Program Files\Windows Defender\MSASCui.exe Netzwerkaktivität ----------------- Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang firefox.exe (3508) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang chrome.exe (4472) verbunden mit Anschluss 80 (HTTP) --> x Vorgang Dropbox.exe (5536) verbunden mit Anschluss 80 (HTTP) -->x Vorgang chrome.exe (5672) verbunden mit Anschluss 80 (HTTP) --> x Vorgang Dropbox.exe (5536) kontrolliert die Anschlüsse: 17500 Autoruns und kritische Dateien ------------------------------ Adobe Acrobat C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe Adobe Reader and Acrobat Manager C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe Betriebssystem Microsoft® Windows® C:\Program Files\Windows Media Player\wmpnscfg.exe Betriebssystem Microsoft® Windows® C:\Windows\System32\browseui.dll Betriebssystem Microsoft® Windows® c:\windows\system32\userinit.exe BullGuard C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe Dropbox C:\Users\+++\AppData\Roaming\Dropbox\bin\Dropbox.exe eDataSecurity C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe GrooveMonitor Utility C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe GrooveShellExtensions Module C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll HD Audio Control Panel C:\Windows\RtHDVCpl.exe iTunes C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Platform SE Auto Updater 2 0 C:\Program Files\Common Files\Java\Java Update\jusched.exe Launch Manager C:\Program Files\Launch Manager\LManager.exe Malwarebytes' Anti-Malware C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe Microsoft Office OneNote C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE Microsoft® Windows® Operating System C:\Windows\ehome\ehtray.exe Microsoft® Windows®-Betriebssystem C:\Windows\WindowsMobile\wmdSync.exe NVIDIA Compatible Windows 2000 Display C:\Windows\System32\nvcpl.dll NVIDIA Driver Helper Service, Version 1 C:\Windows\System32\nvsvc.dll NVIDIA Media Center Library C:\Windows\System32\nvmctray.dll QuickTime C:\Program Files\QuickTime\QTTask.exe RAID Event Monitor C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe sonix DefaultSettingEXE C:\Windows\PLFSetL.exe Synaptics Pointing Device Driver C:\Program Files\Synaptics\SynTP\SynTPStart.exe Windows C:\Windows\System32\wpcumi.exe Windows® Internet Explorer C:\Windows\System32\webcheck.dll Browser Plugins --------------- 2007 Microsoft Office system C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL AcroIEHelperShim Library c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll Adobe Acrobat C:\Program Files\Internet Explorer\plugins\nppdf32.dll Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\mswsock.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\NapiNSP.dll Betriebssystem Microsoft® Windows® C:\Windows\System32\pnrpnsp.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll BitDefender QuickScan C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll (deleted) Bonjour C:\Program Files\Bonjour\mdnsNSP.dll BullGuard c:\program files\bullguard ltd\bullguard\antiphishing\ie\bgantiphishingiebho.dll BullGuard C:\Windows\System32\BGLsp.dll eDStoolbar Module c:\windows\system32\edstoolbar.dll FFExternalAlert.dll C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll Google Earth Plugin C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll Google Update C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll Google Updater C:\Program Files\Google\Google Updater\2.4.1691.8062\npCIDetect13.dll GoogleToolbarNotifier c:\program files\google\googletoolbarnotifier\5.2.4204.1700\swg.dll GrooveShellExtensions Module C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll ICQ C:\Program Files\ICQ6.5\ICQ.exe Java Deployment Toolkit 6.0.220.4 C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll Java(TM) Platform SE 6 U22 c:\program files\java\jre6\bin\jp2ssv.dll Java(TM) Platform SE 6 U22 C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll Microsoft Office 2010 C:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL Microsoft® Windows Live Login Helper c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll Microsoft® Windows Media Player Firefox C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll Microsoft® Windows® Operating System C:\Windows\System32\nlaapi.dll Microsoft® Windows® Operating System C:\Windows\System32\winrnr.dll Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll npitunes.dll C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll nppdf32.DEU C:\Program Files\Internet Explorer\plugins\nppdf32.DEU nppdf32.DEU C:\Program Files\Mozilla Firefox\plugins\nppdf32.DEU NPSWF32.dll C:\Windows\system32\Macromed\Flash\NPSWF32.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll QuickTime Plug-in 7.6.9 C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll QuickTime Plug-in 7.6.9 C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll RadioWMPCore.dll C:\Users\+++\AppData\Roaming\Mozilla\Firefox\Profiles\xir1dwan.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll Shockwave for Director C:\Windows\system32\Adobe\Director\np32dsw.dll Windows C:\Windows\System32\wpclsp.dll Windows Presentation Foundation C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll Windows® Internet Explorer C:\Windows\System32\ieframe.dll fahlende Dateien ---------------- Datei nicht gefunden: C:\Windows\System32\appmgmts.dll --> HKLM\System\ControlSet001\services\AppMgmt\Parameters\"ServiceDll" Datei nicht gefunden: c:\windows\system32\ bggamingmonitor.dll --> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" Überprüfen ---------- Keine Dateien hochgeladen Scan beendet - Kommunikation hat 3 Sek. gedauert übertragene Daten - 0.07 MB gesendet, 635.97 KB empfangen 1377 Dateien und Module geprüft - 88 seconds ============================================================================== |
07.01.2011, 20:33 | #44 |
/// Malwareteam | Windows stürzt ab. APPCRASH svchost.exe Das ist gut möglich. Schritt 1 Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix.exe /u => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. Schritt 2 Systemwiederherstellungpunkte leeren Windows +E Taste drücken --> Rechtsklick über Laufwerk C --> Eigenschaften --> Bereinigen --> weitere Optionen --> Systemwiederherstellung und Schattenkopien bereinigen. Schritt 3 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 4 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 5 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 6 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
10.01.2011, 18:40 | #45 |
| Windows stürzt ab. APPCRASH svchost.exe Ok, bis jetzt läuft noch alles wie geschmiert. Nur beim Deinstallieren von ComboFix kam die Fehlermeldung "PEV.cfxxe funktioniert nicht mehr" Problemsignatur: Problemereignisname: APPCRASH Anwendungsname: PEV.cfxxe Anwendungsversion: 0.0.0.0 Anwendungszeitstempel: 4bd0e994 Fehlermodulname: PEV.cfxxe Fehlermodulversion: 0.0.0.0 Fehlermodulzeitstempel: 4bd0e994 Ausnahmecode: c00000fd Ausnahmeoffset: 0003ef0e Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 1a30 Zusatzinformation 2: 0a27fdcaf8b042a222a44827bb72863e Zusatzinformation 3: 8ab3 Zusatzinformation 4: b90ae427254b6e0a47ed850cad29f317 Lesen Sie unsere Datenschutzrichtlinie: hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407 Aber sowohl der OTL-Scan als auch Malwarebytes haben nichts gefunden. |
Themen zu Windows stürzt ab. APPCRASH svchost.exe |
abstürzen, adobe, bho, bonjour, browser, converter, defender, dll, explorer, fehlermeldung, hijack, hitman pro, internet, internet explorer, launch, mp3, notebook, object, plug-in, pop-up-blocker, problem, rundll, rückgängig, software, svchost.exe, symantec, system, temp, vista, windows |