GVU Virus

[BuZeMaNn]

Hallo botfrei com.

habe durch eine wahrscheinlich manipulierte internetseite den gvu virus auf meinen computer bekommen und bekomme ihn nichtmehr weg.
habe schon mehrmals mit der kaspersky rescue disk probiert den virus zu entfernen doch es klappte nicht.
in der registry kenn ich mich kaum aus und fand auch nach nur schwach beschriebenen anleitungen die zu änderen keys nicht.
hab allerdings in dem ordner appdata die exe gefunden welche ausgeführt wird und gelöscht und das bild kommt nun auch nichtmehr wenn ich internetstecker ziehe und wlan ausmache. allerdings aktualisiert sich der dekstop von alleine und dekstop icons werden nicht angezeigt.
momentdan lass ich das system von anti malwarebytes im abgesicherten modus durchsuchen .

ich bitte um hilfe da ich nich weiß wie ich das problem sonst lösen kann und ich möchte nur ungern mein pc neu aufsetzen müssen , da ich meine daten aufm pc ja nicht absichern kann.
ich schreibe grade von meinem alten aus und habe hier auch die möglichkeit software zum reparieren etc zu laden .

[BuZeMaNn]

hmh habe computer neugestartet nachdem malwarebytes nichts gefunden hat und nun klappt alles wieder... muss ich befürchten das i.welche registry einträge noch verändert sind ? dass der virus wieder kommt oder das der virus i.welche daten von meinem computer ausspäht?

thx schonmal

[Petra]

Hallo BuZeMaNn,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

Das können wir ja nochmal kontrollieren, poste mir die Logfiles von Malwarebytes und mache bitte folgendes:


Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung, klicke allerdings statt Minimal-Ausgabe die Standard-Ausgabe an. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer". User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

[BuZeMaNn]

danke schonmal für die antwort.

malwarebytes hab ich im abgesicherten modus gemacht die log datei wird nicht im normalen angezeigt. allerdings hatte es keine fehler gefunden.

otl logs im anhang



sry wenn das nicht zum topic passt aber hab da noch eine frage...
habe des öfteren bluescreen wo steht page fault in non page area
habe schon danach gegoogled doch bin zu noch keinem ergebnis gekommen.
hättet ihr da evtl eine idee danke schonmal für die antwort und bearbeitung meines probs

[Petra]

Hallo BuZeMaNn,

malwarebytes hab ich im abgesicherten modus gemacht die log datei wird nicht im normalen angezeigt.

Das stimmt nicht. Du kannst Logfiles von Malwarebytes jederzeit einsehen, wenn Du Malwarebytes' startest und auf den Reiter "Logdateien" gehst und dort das Logfile doppelklickst. Dann kannst Du den Inhalt kopieren und hier einfügen.

sry wenn das nicht zum topic passt aber hab da noch eine frage...
habe des öfteren bluescreen wo steht page fault in non page area

Wenn ich den exakten und vollständigen Wortlaut des Bluescreens bekomme und am besten noch die Minidump-Datei, kann ich sicher mehr dazu sagen. Damit wir an diese Daten kommen, mache mal folgendes:

Automatischen Neustart abstellen, um Abstürze mit Blue Screen aufzuzeichnen (Vista und Windows 7)

Systemsteuerung => System => Erweiterte Systemeinstellungen => Reiter Erweitert => Starten und Wiederherstellen => Einstellungen
Dort den Haken bei "Automatisch Neustart durchführen" wegnehmen => unter "Debuginformationen speichern" => "kleines Speicherabbild" wählen => OK => OK.

Wenn Windows jetzt abstürzt, erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt.
Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes.
Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben.
Diese beiden Zeilen abschreiben (sorry, Copy&Paste funktioniert dort nicht) und posten.
Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann.

Suche nach einem BlueScreen nach dem Ordner Minidump (wird vermutlich in C:\Windows oder C:\Windows\system32 sein) und schaue, ob sich darin eine Datei mini<Datum>.dmp befindet. Falls ja, mache aus der Datei ein Zip-Archiv und füge dieses Archiv hier als Anhang in Deine nächste Antwort ein, indem Du unterhalb des Textfeldes hier im Thread auf Erweitert klickst und auf Anhänge verwalten gehst. Ich kann diesen Dump dann analysieren.



Was es sonst noch zu tun gibt:

===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109958&tt=290312_bexdll&babsrc=SP_ss&mntrId=56b79f850000000000008c89a58069c6
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes\{EEF22B67-6FCE-40D6-B72C-CBCA4A074768}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_enDE393
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109958&tt=290312_bexdll&babsrc=HP_ss&mntrId=56b79f850000000000008c89a58069c6
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109958&tt=290312_bexdll&babsrc=SP_ss&mntrId=56b79f850000000000008c89a58069c6
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes\{EEF22B67-6FCE-40D6-B72C-CBCA4A074768}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_enDE393
IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109958&tt=290312_bexdll&babsrc=adbartrp&mntrId=56b79f850000000000008c89a58069c6&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
[2012.03.31 00:57:33 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Driver Genius]  File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Adrian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Adrian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
[2012.03.31 00:57:26 | 000,000,000 | ---D | M] -- C:\Users\Adrian\AppData\Roaming\Babylon

:Services
KMService

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


===== Punkt 2 =====

Java - Einstellungen ändern, ggfs. aktualisieren und Cache leeren

Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Programme und Funktionen aufrufen
Prüfe, ob mehrere Java-Versionen installiert sind.
Es sollte immer nur eine Java-Installation vorhanden sein.
Sind mehrere vorhanden? Falls ja:
Bis auf die aktuellste Java-Version, alle anderen über Systemsteuerung => Programme entfernen/deinstallieren.


Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Java aufrufen

Reiter Aktualisierung:
Benachrichtigung ausgeben => Vor der Installation
Haken machen bei Automatisch nach Aktualisierung suchen
Button Erweitert => auf Wöchentlich einstellen => Ok
Falls nicht die aktuellste Version installiert ist, über den Button Jetzt aktualisieren.
Damit wird Java auf den neuesten Stand gebracht.
Download (falls nötig): immer die Offline-Versionen wählen und hier herunterladen.
User mit 64Bit-Systemen installieren besser die 32Bit-Version, da die Erfahrung gezeigt hat, dass die 64Bit-Version keinen Reiter Aktualisierung zeigt und häufig Probleme bereitet.
Vista- und Windows 7 starten die Installationsdatei mit Rechtsklick als Administrator.



Reiter Erweitert:
Automatischer JRE-Download aufklappen
auf Immer automatisch herunterladen einstellen



Sollte der Reiter Aktualisierung bei Dir nicht vorhanden sein, hast Du vermutlich die 64Bit-Version installiert. Installiere auch noch die 32Bit-Version, dann solltest Du auch den Reiter haben.


Java-Cache leeren

Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
Java aufrufen

Reiter Allgemein:
Unter Temporäre Internet-Dateien den Button Einstellungen drücken
Haken entfernen bei Temporäre Dateien auf Computer belassen

Button Dateien löschen drücken
Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK


===== Punkt 3 =====

Filesharing

Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.

Filesharing P2P Programme (Internet-Tauschbörsen) wie z. B. BitTorrent, eMule, KaZaa, Morpheus, Shareaza gehören leider zu den unseriösesten Anbietern von Downloads. Es werden sehr viele Schädlinge verbreitet, wenn überhaupt, nur ganz besonders vorsichtig damit umgehen und die Downloads vor dem Entpacken/Benutzen bei VirusTotal online prüfen lassen! Laut Studien sind 45% der über Tauschbörsen zum Download angebotenen Dateien mit Viren, Trojanern, Würmern oder sonstigen Schädlinge verseucht. Wie sollen die Viren-Programmierer auch sonst ihre Schätzchen verteilen! Hinzu kommt, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind und Du als Nutzer dadurch u. U. verleitet wirst, Straftaten zu begehen!

Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich ausschließlich Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren => BitTorrent


===== Punkt 4 =====

Firewall - Ausnahmen löschen (Windows 7)

Du hast sehr viele Ausnahmen in den Firewall-Regeln aufgenommen. Stanardmäßig sieht das mehr oder weniger so aus:



Schaue das bitte bei Dir durch und lösche die unnötigen wie folgt:

Start => Systemsteuerung => Windows Firewall => "Ein Programm oder Feature durch die Windows-Firewall zulassen" anklicken
Bei den zu löschende Ausnahmen den Haken entfernen => Entfernen => Abfrage mit "Ja" bestätigen.

Wenn Dir Einträge unklar sind, mache mir bitte davon einen Screenshot nach dieser Anleitung.

[BuZeMaNn]

danke schonmal für die ausführliche antwort

bin derzeit in der schule und kann deinen anweisungen von daher noch nicht nachgehen.
allerdings wollt ich dazu noch sagen das ich bei malwarebytes schon geguckt hab auf auf den reiter logfiles geguckt hab und dort nur logfiles von vorherigen scans (längere tage her) waren.

die bluescreens sind nicht regelmäßig und manchmal bleiben sie auch aus von daher poste ich sobald ich zu hause bin mal die ergebnisse von bluescreen view, bis zum nächsten bluescreen wo ich die zeilen für dich abschreiben werde.
natürlich werde ich auch die von dir verlangten programme löschen.
danke trozdem schonmal für die bearbeitung meiner probleme

ich melde mich sobald ich wieder zu hause bin mit den von dir verlangten informationen.

[Petra]

allles klar, dann poste mir die vorhandenen Logfiles von Malwarebytes

[BuZeMaNn]

so da bin ich wieder.

die hab deine punkte jetzt schritt für schritt bearbeitet.
im anhang findest du nun die malwarebyte logs (sry das ichs nich früher gemerkt hab habs wohl i-wie verpeilt das die logs mit den neusten daten unten stehen anstatt oben das is jetzt das aktuellste :P )
und die otl logs

habe die neuste java version heruntergeladen per aktualisieren reiter
habe nun bit torrent deinstalliert
und die unnötigen ausnahmen aus meiner firewall gelöscht

auserdem habe ich die einstellungen für den nächsten bluescreen umgeändert wie du es wolltest

mfg

[BuZeMaNn]

da ich mein beitrag oben komischer weise grad nicht bearbeiten konnte muss ich das hier grade doch nochmal extra schreiben.
war zwar nicht geplant das ich mich heute nochmal melde aber war grade so schön im internet am surfen facebook und so musik am hören
als ich einen bluescreen bekam.

wie verlangt hab ich die 4langen codes abgeschrieben die wie folgt lauten:

***STOP : 0x00000050
(0xFFFFFA801C090828, 0x0000000000000000, 0xFFFFF80003C98CEB, 0x0000000000000002)

Minidump im anhang

[Petra]

Hallo BuZeMaNn,

Code:

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Petra\Desktop\052912-31387-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 7601.17803.amd64fre.win7sp1_gdr.120330-1504
Machine Name:
Kernel base = 0xfffff800`03c4a000 PsLoadedModuleList = 0xfffff800`03e8e670
Debug session time: Tue May 29 22:08:18.941 2012 (UTC + 2:00)
System Uptime: 0 days 3:34:19.174
Loading Kernel Symbols
...............................................................
................................................................
........................
Loading User Symbols
Loading unloaded module list
..............
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 50, {fffffa801c090828, 0, fffff80003c98ceb, 2}


Could not read faulting driver name
Probably caused by : memory_corruption ( nt!MiDeleteAddressesInWorkingSet+27f )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffffa801c090828, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff80003c98ceb, If non-zero, the instruction address which referenced the bad memory
	address.
Arg4: 0000000000000002, (reserved)

Debugging Details:
------------------


Could not read faulting driver name

READ_ADDRESS: GetPointerFromAddress: unable to read from fffff80003ef8100
 fffffa801c090828 

FAULTING_IP: 
nt!MiDeleteAddressesInWorkingSet+27f
fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h]

MM_INTERNAL_CODE:  2

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0x50

PROCESS_NAME:  MsMpEng.exe

CURRENT_IRQL:  0

TRAP_FRAME:  fffff8800893ccf0 -- (.trap 0xfffff8800893ccf0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0000058000000000 rbx=0000000000000000 rcx=fffffa801c090800
rdx=00000000024b8009 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80003c98ceb rsp=fffff8800893ce80 rbp=fffff700010eda98
 r8=fffffa8006fe96e8  r9=0000000000000001 r10=00000000000025bf
r11=fffff70001080000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl nz na pe nc
nt!MiDeleteAddressesInWorkingSet+0x27f:
fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h] ds:c7be:fffffa80`1c090828=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff80003c6ff50 to fffff80003cc91c0

STACK_TEXT:  
fffff880`0893cb88 fffff800`03c6ff50 : 00000000`00000050 fffffa80`1c090828 00000000`00000000 fffff880`0893ccf0 : nt!KeBugCheckEx
fffff880`0893cb90 fffff800`03cc72ee : 00000000`00000000 fffffa80`1c090828 00000000`00001000 ac200009`58580867 : nt! ?? ::FNODOBFM::`string'+0x43d86
fffff880`0893ccf0 fffff800`03c98ceb : 00000003`00000000 2bd00000`10166867 fffff700`010eda70 fffff680`000b4b38 : nt!KiPageFault+0x16e
fffff880`0893ce80 fffff800`03c99e42 : fffffa80`06fe9350 fffffa80`0000011f fffff8a0`000025bf fffff880`00000000 : nt!MiDeleteAddressesInWorkingSet+0x27f
fffff880`0893d730 fffff800`03f9a6da : fffff8a0`0cb38840 fffff880`0893dae0 00000000`00000000 fffffa80`07445b50 : nt!MmCleanProcessAddressSpace+0x96
fffff880`0893d780 fffff800`03f7dbdd : 00000000`000000ff fffff880`014d1701 000007ff`fff8a000 00000000`00000000 : nt!PspExitThread+0x56a
fffff880`0893d880 fffff800`03cbbd1a : fffffa80`140e51c8 fffffa80`09f18b20 fffffa80`09eb0a30 fffffa80`140e50d8 : nt!PsExitSpecialApc+0x1d
fffff880`0893d8b0 fffff800`03cbc060 : 00000000`0114dd10 fffff880`0893d930 fffff800`03f7db50 00000000`00000001 : nt!KiDeliverApc+0x2ca
fffff880`0893d930 fffff800`03cc84f7 : 00000000`000002e8 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiInitiateUserApc+0x70
fffff880`0893da70 00000000`7744137a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceExit+0x9c
00000000`0114dae8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7744137a


STACK_COMMAND:  kb

FOLLOWUP_IP: 
nt!MiDeleteAddressesInWorkingSet+27f
fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h]

SYMBOL_STACK_INDEX:  3

SYMBOL_NAME:  nt!MiDeleteAddressesInWorkingSet+27f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: nt

DEBUG_FLR_IMAGE_TIMESTAMP:  4f76721c

IMAGE_NAME:  memory_corruption

FAILURE_BUCKET_ID:  X64_0x50_nt!MiDeleteAddressesInWorkingSet+27f

BUCKET_ID:  X64_0x50_nt!MiDeleteAddressesInWorkingSet+27f

Followup: MachineOwner
---------

Scheint also wie auch immer mit der Datei MsMpEng.exe zusammenzuhängen, die zu Windows Security Essentials gehört. Das bestätigt auch diese Fehlermeldung in den Ereignissen:

Code:

Error - 28.05.2012 08:28:15 | Computer Name = Adrian-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: MsMpEng.exe, Version: 4.0.1526.0,
 Zeitstempel: 0x4f711b15  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.17725,
 Zeitstempel: 0x4ec4aa8e  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000000000005324e
ID des fehlerhaften Prozesses: 0x190  Startzeit der fehlerhaften Anwendung: 0x01cd3ccd17f470f9
Pfad der fehlerhaften Anwendung: c:\Program Files\Microsoft Security Client\MsMpEng.exe
Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll  Berichtskennung: 98cf8841-a8c0-11e1-a0e7-8c89a58069c6

Machen wir erstmal folgendes:

===== Punkt 1 =====

Zunächst schlage ich vor, Microsoft Security Essentials einmal ganz zu installieren. Gehe wie folgt vor:

Lade die aktuelle Version herunter => http://windows.microsoft.com/de-DE/w...ity-essentials
Trenne den Rechner vom Netz.
Deinstalliere über Systemsteuerung => Programme die alte Version
Starte den Computer neu.
Installiere die neue Version.
Verbinde den Rechner wieder mit dem Netz.
Lasse die Signaturen aktualisieren und mache einen Komplettscan.
Wenn Funde gemacht werden, teile mir bitte die Details dazu mit, inkl. Pfad- und Dateiname.