Trojaner-Board - Probleme mit BlueScreen C:\Windows\Minidump\091911-13369-01.dmp

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit BlueScreen C:\Windows\Minidump\091911-13369-01.dmp (https://www.trojaner-board.de/103514-probleme-bluescreen-c-windows-minidump-091911-13369-01-dmp.html)

Probleme mit BlueScreen C:\Windows\Minidump\091911-13369-01.dmp

Hi,
Habe heute was fest gestellt das PC vom Standby allein hoch gefahren und dazu ergibt sich ein Problem Bericht: Windows wird nach unerwartetem Herunterfahren wieder ausgeführt.

Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.1.7601.2.1.0.256.1
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: 9f
BCP1: 00000003
BCP2: 86582768
BCP3: 8078ADB0
BCP4: 85DE8968
OS Version: 6_1_7601
Service Pack: 1_0
Product: 256_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\091911-13369-01.dmp
C:\Users\Kawkas\AppData\Local\Temp\WER-49358-0.sysdata.xml
Was habe ich falsch gemacht, bzw habe den Gäste auf PC oder muss mann Win 7 Neuinstallieren.
Bitte um Hilfe
MfG
Kawkas

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Führe danach auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi,
Nach dem Scan Eset was gefunden, aber dieses Programm habe ich nicht Installiert. Noch was ich sehe meine Externe festplatte nicht obwohl angeschlossen sind über usb pot. Geräte Manager sagt auch nichts alles in Ordnung. Das ist noch vom heute Log voll Scan:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7758

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
21.09.2011 08:56:31
mbam-log-2011-09-21 (08-56-31).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 266435
Laufzeit: 39 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was machen wir weiter?
Übrigens Danke für deine mühe.
MfG
Kawkas

Zitat:

Nach dem Scan Eset was gefunden, aber dieses Programm habe ich nicht Installiert.

Zusammenhang? :confused:
Die Anleitung zu ESET ist für den OnlineScanner, da wird nichts installiert wie bei einem herkömmlichen Virenscanner üblich. Daher versteh ich deine Aussage du hättest das Programm nicht installiert garnicht.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hi,
Ein falsche ausdruck, das was ESET gefunden habe das nicht installirt, aber selbst ESET installirt. Und frühere malwarebytes hier

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Datenbank Version: 7689
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

10.09.2011 16:11:02
mbam-log-2011-09-10 (16-11-02).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 239703
Laufzeit: 21 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Noch mal was eset scan fund hat nicht installirt, verstehe?
Noch was externe festplatte wird nicht angezeigt in computer nur C und D und DVD mehr nicht obwohl externe angeschlossen.
Gruß
Kawkas

Zitat:

Ein falsche ausdruck, das was ESET gefunden habe das nicht installirt

Achso meintest du das, da bin ich tatsächlich nciht selbst drauf gekommen, dass man es so meinen könnte :D

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60429

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.crawler.com/homepage.aspx?tbid=60429

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\Shell - "" = AutoRun

O33 - MountPoints2\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\Shell - "" = AutoRun

O33 - MountPoints2\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\G\Shell - "" = AutoRun

O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exe

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Scan fertig aber dumme frage extern platte mus angeschlossen oder nicht
für vorsicht halber kann mit machen.
Erst Log ohne, noch was?: wie ich vor Scan habe den pc in ruhe stand
gebracht und wieder hoch fahren will dann bleib alles stehen, Maus konnte nicht bewegen, also Zwangs start ausgeübt.
Danach mit OTL-Fix wie in Anleitung vor gegangen.
Ich weis das der kieste kann nicht vor wenn eine ..... mit zwei Händen hockt vor und macht allen anderen auch Problem oder?
All processes killed
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ce8f9d5-dc65-11e0-b986-0024216fc181}\ not found.
File G:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ce8f9dd-dc65-11e0-b986-0024216fc181}\ not found.
File G:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\AutoRun.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Kawkas
->Temp folder emptied: 77515119 bytes
->Temporary Internet Files folder emptied: 185061788 bytes
->Java cache emptied: 3040 bytes
->Google Chrome cache emptied: 7549369 bytes
->Flash cache emptied: 2008 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 35864737 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 292,00 mb
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.27.0 log created on 09212011_160424 Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\asat0000.tmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Und noch was könnte dem Log -Datei nicht über Datei Anhänger dazu legen warum es so?

MfG
Kawkas

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Und wo krieg mann solche Tool direkt von Kaspersky oder wo?
Gruß
Kawkas

Scan fertig ich poste log zu.
Grus
Kawkas

Übrigens habe jezt nach Wiederherstellungspunkte nach geschaut die sind einfach weg nur 2 st. da,aber frühere wieder punkte nicht mehr. Ich weis es sicher das dies nicht weg gemacht worden.
Grus
Kawkas

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin,
Habe alles gemacht aber muste neustarten weil nichts öfnet
kein Internet oder sonstwas, nach dem neustart funz normal wieder.
Das Log vom Combofix dabei.
Ich muss kurz weg aber 2-3 Stunde wieder da.
Gruß
Kawkas

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

File::

c:\windows\system32\kbdRuBxA.dll

c:\windows\system32\drivers\rdvgkmd.sys
 

Driver::

VGPU

AFS

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,
Bin wieder da alles fertig mit Scan trotz dem konnte des externe platte
nicht sehen.
Warum, ist es so schlimm bei mir?
Gruß
Kawkas