Trojaner-Board - Schadsoftware auf Windows Vista verursacht Bluescreen ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Schadsoftware auf Windows Vista verursacht Bluescreen ? (https://www.trojaner-board.de/158818-schadsoftware-windows-vista-verursacht-bluescreen.html)

Zitat:

Zitat von Warlord711 (Beitrag 1360945)

Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.

Heute Abend wieder ein Bluescreen, nachdem der Bildschirm beim Anschaun eines Videos auf Youtube mit Google Chrome browserr komplett eingefroren war, und auch kein Mauszeiger mehr ging.

Die Bluescreenmeldung (Original als Screenshot im Anhang)...

Code:

Kernel_Stack_Inpage_Error

Stop: 0x00000077 (0xC0000056, 0xC0000056, 0x00000000, 0x29CAA000)

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Zitat:

Zitat von Warlord711 (Beitrag 1365789)

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Der Report von WhoCrashedSetup lautet wie folgt:

Code:

System Information (local)

--------------------------------------------------------------------------------
 

computer name: ****

windows version: Windows Vista Service Pack 2, 6.0, build: 6002

windows dir: C:\Windows

Hardware: Studio 1555, Dell Inc., 0C234M

CPU: GenuineIntel Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz Intel586, level: 6

2 logical processors, active mask: 3

RAM: 3183407104 total
 

--------------------------------------------------------------------------------

Crash Dump Analysis

--------------------------------------------------------------------------------

Crash dump directory: C:\Windows\Minidump
 

Crash dumps are enabled on your computer.
 

No valid crash dumps have been found on your computer
 

--------------------------------------------------------------------------------

Conclusion

--------------------------------------------------------------------------------

Crash dumps are enabled but no valid crash dumps have been found. In case you are experiencing system crashes, it may be that crash dumps are prevented from being written out. Check out the following article for possible causes: If crash dumps are not written out - hxxp://www.resplendence.com/whocrashed_dumpnotwritten .

In meiner Einstellung solltte aber eine Dump-Datei geschrieben (siehe screenshot "Starten und Wiederherstellen") in das Verzeichnis:
%SystemRoot%\MEMORY.DMP

Wie kann memory.dmp ausgelesen werden ?

Ich hab mal nachgeschaut, was die Ereignissprotokolle zum Zeitpunkt des BlueScreens anzeigen, siehe Screenshot vom 27.09.2014 im Anhang.. Es gab wohl eine Vielzahl von DistributedCOM-Fehlermeldungen

Code:

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Startberechtigung (Lokal) für die COM-Serveranwendung mit CLSID 

{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Auch beim Systemstart heute morgen gg. 11:00 Uhr gibt es eine Menge und gleichlautende DistributedCOM-Fehlermeldungen... siehe Übersicht der Systemprotokolle im 2ten Screenshot

Code:

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Startberechtigung (Lokal) für die COM-Serveranwendung mit CLSID 

{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Would it make sense to do another RootKit Scan, e.g. wit RootPeal ? ( hxxp://www.dslreports.com/faq/16564 )

Zitat:

Zitat von Warlord711 (Beitrag 1365789)

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Ich habe mit FileCommander die gesamte Festplatte durchsuchen lassen. Es gibt kein MEMORY.DMP-File.

Wird kein Dump file geschrieben, weil ich eine zu geringe pagefile.sys-Grösse habe (4,7 GB), und nicht genügend freiem HardDisc space (zwischen 5-7 GB) ?

Zitat:

Zitat von Warlord711 (Beitrag 1365789)

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Hab nun mal mit diesem Programm den Dumb test durchgeführt und einen "Crash", d.h. einen BlueScreen provoziert (Screenshot siehe Anlage). Zuvor hatte ich noch 20 GB auf eine externe Festplatte ausgelagert habe, um das Platzproblem auszuschliessen.

WhoCrashed liest die Dump-Test-Datei wohl auch richtig aus... mit folgendem Ergebnis:

Code:

System Information (local)

--------------------------------------------------------------------------------
 

computer name: EUFLETZ-MOBILE

windows version: Windows Vista Service Pack 2, 6.0, build: 6002

windows dir: C:\Windows

Hardware: Studio 1555, Dell Inc., 0C234M

CPU: GenuineIntel Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz Intel586, level: 6

2 logical processors, active mask: 3

RAM: 3183407104 total
 

--------------------------------------------------------------------------------
 Crash Dump Analysis

--------------------------------------------------------------------------------
 

Crash dump directory: C:\Windows\Minidump
 

Crash dumps are enabled on your computer.
 

On Mon 29.09.2014 15:44:09 GMT your computer crashed

crash dump file: C:\Windows\Minidump\Mini092914-01.dmp

This was probably caused by the following module: rspcrash32.sys (rspCrash32+0x10B2) 

Bugcheck code: 0xDEADDEAD (0x0, 0x0, 0x18FB394D, 0x3C2A58ED)

Error: MANUALLY_INITIATED_CRASH1

file path: C:\Windows\system32\drivers\rspcrash32.sys

product: WhoCrashed

company: Resplendence Software Projects Sp.

description: Resplendence WhoCrashed Crash Dump Test

Bug check description: This indicates that the user deliberately initiated a crash dump from either the kernel debugger or the keyboard.

This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out. 
 

On Mon 29.09.2014 15:44:09 GMT your computer crashed

crash dump file: C:\Windows\memory.dmp
 

This was probably caused by the following module: rspcrash32.sys (rspCrash32+0x10B2) 

Bugcheck code: 0xDEADDEAD (0x0, 0x0, 0x18FB394D, 0x3C2A58ED)

Error: MANUALLY_INITIATED_CRASH1

file path: C:\Windows\system32\drivers\rspcrash32.sys

product: WhoCrashed

company: Resplendence Software Projects Sp.

description: Resplendence WhoCrashed Crash Dump Test

Bug check description: This indicates that the user deliberately initiated a crash dump from either the kernel debugger or the keyboard.

This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out. 
 

--------------------------------------------------------------------------------
 Conclusion

--------------------------------------------------------------------------------
 

2 crash dumps have been found and analyzed. No offending third party drivers have been found. Connsider using WhoCrashed Professional which offers more detailed analysis using symbol resolution. Also configuring your system to produce a full memory dump may help you. 
 
 

Read the topic general suggestions for troubleshooting system crashes for more information. 
 

Note that it's not always possible to state with certainty whether a reported driver is responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.

Mit dem BlueScreen-Test taucht nach dem Systemneustart und Login erstmalig eine Windowsmeldung auf, siehe Screenshot. Die gab es zuvor nie.

Das MS-Protokoll bestätigt wohl, dass eine DMP-Datei angelegt wurde im SystemRootVerzeichnis ( C:\Windows\Minidump\ ):

Code:

Problemsignatur:

  Problemereignisname:        BlueScreen

  Betriebsystemversion:        6.0.6002.2.2.0.768.3

  Gebietsschema-ID:        1031
 

Zusatzinformationen zum Problem:

  BCCode:        deaddead

  BCP1:        00000000

  BCP2:        00000000

  BCP3:        18FB394D

  BCP4:        3C2A58ED

  OS Version:        6_0_6002

  Service Pack:        2_0

  Product:        768_1
 

Dateien, die bei der Beschreibung des Problems hilfreich sind:

  C:\Windows\Minidump\Mini092914-01.dmp

  C:\Users\Tech-Admin\AppData\Local\temp\WER-279600-0.sysdata.xml

  C:\Users\Tech-Admin\AppData\Local\temp\WERC9D3.tmp.version.txt
 

Lesen Sie unsere Datenschutzrichtlinie:

  hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407

---

P.S.: Ich werde den Rechner nochmals ordentlich belasten mit Youtube video streaming in Chrome und schaun, ob das BlueScreen-Problem wieder auftaucht, und diesmal eine Dump-Datei generiert wird.

"Product Messaging Application funktioniert nicht mehr"

Ich hatte den Rechner die ganze Nacht am Laufen, wurde ein Datenbackup von 80 GB auf eine externe Festplatte mit dem File-Manager-Programm FreeComannder + TeraCopy durchgeführt. Dieser Datentransfer ist auch vollständig abgeschlossen worden.

Diese Meldung hatte ich heute morgen auf dem Bildschirm (Original siehe Screenshot im Anhang):
"Product Messaging Application funktioniert nicht mehr"

Hat das etwas mit unserem Problem zu tun ? - Oder ist hier einfach Avira abgeschmiert ? ( siehe hxxp://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1197 )

Kann damit zu tun haben, das die AdWare Komponenten von Avira nicht mehr richtig funktionieren. Ist halt doof wenn man als angeblichen Antivirenhersteller gerade auf AdWare setzt um sein Produkt "zu pushen".

Welche "Technik" Avira einsetzt, um Produktinformationen von "Vertriebspartner" zu erhalten, weiss ich nicht.

Ich vermute, das die Meldung mit Säuberung von AdWare zu tun hat, die von Avira auch genutzt wird.

Ich würds ignorieren wenn es nicht nochmal auftaucht, ansonsten Avira runterschmeissen oder zumind. komplett deinstallieren und neu installieren.

Die Free Version hat nunmal AdWare an Bord und der "tolle" Surfschutz basiert darauf, unsere Tools löschen AdWare. Da ist der Konflikt.

Hallo, Timo ! am letzten Samstag wieder ein Bluescreen, auch ohne Abspielen eines Youtube videos (siehe letzte BlueScreen Doku v. 29.09.2014 - hxxp://goo.gl/MWxIr9 )

Die Bluescreenmeldung (Original als Screenshot im Anhang)...

Code:

Kernel_Data_Inpage_Error

Stop: 0x0000007A (0xC0600910, 0xC0000056, 0x2C7FE884, 0xC0122000)

Leider wurde keine Dump-Datei erstellt werden; im letzten Abschnitt des Screenshots ist zu lesen:

Code:

Collecting Data for crash dump...

Initializing disk for crash dump...
 Physical memory dump FAILED wih status 0xC0000010.

(Anm.: Ich hatte ja bereits mit meinem 2ten posting am 29.09.2014 ( http://www.trojaner-board.de/158818-...ml#post1365802 ) darauf hingewiesen, dass bis dato keine Dump-Datei geschrieben wurden.)

Kannst du bitte schauen unter

Systemsteuerung
System und Sicherheit
System
Erweiterte Systemeinstellungen
Erweitert
Leistung

in der Einstellung

Erweitert
Virtueller Arbeitsspeicher
die Option Auslagerungsdateigröße für alle Laufwerke automatisch verwalten aktiviert ist ? Falls nicht, bitte einschalten

Bootet das System nach nem Bluescreen wieder "sauber" oder gibts da noch Meldungen a la Laufwerk nicht gefunden oder ähnlichem ?

Zitat:

Zitat von Warlord711 (Beitrag 1368380)

Kannst du bitte schauen unter

Virtueller Arbeitsspeicher
die Option Auslagerungsdateigröße für alle Laufwerke automatisch verwalten aktiviert ist ? Falls nicht, bitte einschalten

Hallo, Timo !

... danke für die schnelle Rückantwort. Ich hattte einen "virtuellen Arbeitsspeichers" mit fester Grösse zugewiesen, siehe Screenshot.

Soll ich das ändern in "Grösse wird vom System verwaltet" ? - Mit der automatischen Configuration werden nach rebooten 3,3 GB vergeben (siehe 2ter Screenshot), anstatt der manuell eingestellten 4,59 GB.

Zitat:

Zitat von Warlord711 (Beitrag 1368380)

Bootet das System nach nem Bluescreen wieder "sauber" oder gibts da noch Meldungen a la Laufwerk nicht gefunden oder ähnlichem ?

Das booten selbst nach all den BlueScreens war bisher kein Problem. Manchmal taucht eine Fehlermeldung auf Laufwerk F: nicht gefunden, wenn ich mich recht entsinne... hat wohl was damit zu tun, dass die USB-Verbindung zum Smartphone beim Systemabsturz "nicht sicher entfernt" wurde. Werde mal beim nächsten BlueScreen und rebooten die Kamera mitlaufen lassen und schaun, was die Protokollierung der Laufwerksprüfung anzeigt.

Ok, ja bitte aktivieren wie beschrieben.

Kannst du einen Bluescreen "reproduzieren" ?
Falls ja, bitte machen und schauen ob ein Dump geschrieben wird.

Zitat:

Zitat von Warlord711 (Beitrag 1368448)

Ok, ja bitte aktivieren wie beschrieben.

Kannst du einen Bluescreen "reproduzieren" ?
Falls ja, bitte machen und schauen ob ein Dump geschrieben wird.

Ich habe einen Bluescreen provoziert mit dem Tool "StartBlueScreen" ( hxxp://www.nirsoft.net/utils/start_blue_screen.html )

... unter Verwendung folgenden BugCheck Codes:

Code:

StartBlueScreen.exe 0x10 0x1111 0x2222 0x3333 0x4444

Das Ergebnis des BlueScreens (siehe vollständiger Screenshot im Anhang):

Code:

SPIN_LOCK_NOT_OWNED

Stop: 0x000000010 (0x00001111, 0x00002222, 0x00003333, 0x00004444)

...und

Code:

Collecting data for crash dump...

Initializing disk for crash dump...

Beginning dump off pyshical memory.
 Dumping physical memory to disk: 100

Physical memory dump complete.

In dem Systemverzeichnis C:\Windows\Minidump wurden auch zwei Dateien geschrieben:

- MEMORY.dmp mit ca. 348 MB
- Mini100614-01.dmp mit 141 kb (siehe gezippt im Anhang)

Beide Dateien werden in WhoCrashed erkannt (siehe 2ter Screenshot). Die File können aber mit der "home edition" Version nicht ausgelesen werden.

Mit Re-Booten nach diesem erzwungenen BlueScreen wurde angezeigt (siehe 3ter Screenshot):

Code:

Dateisystem auf D: wird überprüft.

Das Volume ist fehlerfrei.
 

Dateisystem auf C: wird überprüft.

das Volume ist fehlerfrei.

Die datenträgerüberprüfung ist abgeschlossen.

Ok, das sind dann aber provozierte Bluescreens.

Gibt es eine Möglichkeit den eingangs erähnten Bluescreen zu erzeugen ?

Zitat:

Zitat von Warlord711 (Beitrag 1368613)

Gibt es eine Möglichkeit den eingangs erähnten Bluescreen zu erzeugen ?

Ich wüsste nicht wie, Timo ?????? - Die Bluescreens sind ja sehr unregelmässig erschienen... mal 2 an einem Tag, mal lief das System 2-3 Tage.

Ich denke, ich kann momentan den Rechner nur so weiter nutzen, wie bisher. Meistens fürs Surfen mit Google Chrome, Youtube videos etc. ... und dann beim nächsten auftretenden Bluescreen das Ergebnis posten.

Oder gibts eine andere Möglichkeit ?

Zitat:

Zitat von ITSecurity14 (Beitrag 1368801)

... und dann beim nächsten auftretenden Bluescreen das Ergebnis posten.

Schneller passiert als erwartet... hatte nur MS Word Text-Programm und Google Chrome browser geöffnet... und schon wieder war der BS da (siehe Screenshot).

Code:

Kernel_Stack_Inpage_Error

Stop: 0x00000077 (0xC0000056, 0x00000056, 0x00000000, 0x28060000)

Leider kommt dabei die Fehlermeldung:

Code:

Collecting data for crash dump...

Initializing disk for crash dump...
 Physical memory DUMP Failed with status 0xC0000010 .

... so wurde also "wieder" keine Dump-Datei generiert ???? :daumenrunter: - Was nun ????

P.S.: Zu 0xC0000010 hab ich folgendes gefunden (Quelle in sevenforums.com : hxxp://goo.gl/Kf5DVH )

... here are some possibilities for dump not working. The error code 0XC0000010 means (STATUS_INVALID_DEVICE_REQUEST) is caused when windows cannot dump the files to the storage device and usually the storage controller driver is corrupted in such cases..

Now you need to update the chipset drivers as well as the SSD firmware to resolve this...