Seite 1 von 6 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 51

Thema: GVU Virus

  1. #1
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83

    GVU Virus

    Hallo botfrei com.

    habe durch eine wahrscheinlich manipulierte internetseite den gvu virus auf meinen computer bekommen und bekomme ihn nichtmehr weg.
    habe schon mehrmals mit der kaspersky rescue disk probiert den virus zu entfernen doch es klappte nicht.
    in der registry kenn ich mich kaum aus und fand auch nach nur schwach beschriebenen anleitungen die zu änderen keys nicht.
    hab allerdings in dem ordner appdata die exe gefunden welche ausgeführt wird und gelöscht und das bild kommt nun auch nichtmehr wenn ich internetstecker ziehe und wlan ausmache. allerdings aktualisiert sich der dekstop von alleine und dekstop icons werden nicht angezeigt.
    momentdan lass ich das system von anti malwarebytes im abgesicherten modus durchsuchen .

    ich bitte um hilfe da ich nich weiß wie ich das problem sonst lösen kann und ich möchte nur ungern mein pc neu aufsetzen müssen , da ich meine daten aufm pc ja nicht absichern kann.
    ich schreibe grade von meinem alten aus und habe hier auch die möglichkeit software zum reparieren etc zu laden .

  2. #2
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83
    hmh habe computer neugestartet nachdem malwarebytes nichts gefunden hat und nun klappt alles wieder... muss ich befürchten das i.welche registry einträge noch verändert sind ? dass der virus wieder kommt oder das der virus i.welche daten von meinem computer ausspäht?

    thx schonmal

  3. #3
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.921

    Hallo BuZeMaNn,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

    Das können wir ja nochmal kontrollieren, poste mir die Logfiles von Malwarebytes und mache bitte folgendes:


    Systemscan mit OTL

    Erstelle bitte OTL-Logfiles nach dieser Anleitung, klicke allerdings statt Minimal-Ausgabe die Standard-Ausgabe an. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer". User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".

    Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

    Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

  4. #4
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83
    danke schonmal für die antwort.

    malwarebytes hab ich im abgesicherten modus gemacht die log datei wird nicht im normalen angezeigt. allerdings hatte es keine fehler gefunden.

    otl logs im anhang



    sry wenn das nicht zum topic passt aber hab da noch eine frage...
    habe des öfteren bluescreen wo steht page fault in non page area
    habe schon danach gegoogled doch bin zu noch keinem ergebnis gekommen.
    hättet ihr da evtl eine idee danke schonmal für die antwort und bearbeitung meines probs
    Angehängte Dateien Angehängte Dateien

  5. #5
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.921
    Hallo BuZeMaNn,

    malwarebytes hab ich im abgesicherten modus gemacht die log datei wird nicht im normalen angezeigt.
    Das stimmt nicht. Du kannst Logfiles von Malwarebytes jederzeit einsehen, wenn Du Malwarebytes' startest und auf den Reiter "Logdateien" gehst und dort das Logfile doppelklickst. Dann kannst Du den Inhalt kopieren und hier einfügen.

    sry wenn das nicht zum topic passt aber hab da noch eine frage...
    habe des öfteren bluescreen wo steht page fault in non page area
    Wenn ich den exakten und vollständigen Wortlaut des Bluescreens bekomme und am besten noch die Minidump-Datei, kann ich sicher mehr dazu sagen. Damit wir an diese Daten kommen, mache mal folgendes:

    Automatischen Neustart abstellen, um Abstürze mit Blue Screen aufzuzeichnen (Vista und Windows 7)

    Systemsteuerung => System => Erweiterte Systemeinstellungen => Reiter Erweitert => Starten und Wiederherstellen => Einstellungen
    Dort den Haken bei "Automatisch Neustart durchführen" wegnehmen => unter "Debuginformationen speichern" => "kleines Speicherabbild" wählen => OK => OK.

    Wenn Windows jetzt abstürzt, erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt.
    Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes.
    Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben.
    Diese beiden Zeilen abschreiben (sorry, Copy&Paste funktioniert dort nicht) und posten.
    Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann.

    Suche nach einem BlueScreen nach dem Ordner Minidump (wird vermutlich in C:\Windows oder C:\Windows\system32 sein) und schaue, ob sich darin eine Datei mini<Datum>.dmp befindet. Falls ja, mache aus der Datei ein Zip-Archiv und füge dieses Archiv hier als Anhang in Deine nächste Antwort ein, indem Du unterhalb des Textfeldes hier im Thread auf Erweitert klickst und auf Anhänge verwalten gehst. Ich kann diesen Dump dann analysieren.



    Was es sonst noch zu tun gibt:

    ===== Punkt 1 =====

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

    Code:
    :OTL
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109958&tt=290312_bexdll&babsrc=SP_ss&mntrId=56b79f850000000000008c89a58069c6
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\SearchScopes\{EEF22B67-6FCE-40D6-B72C-CBCA4A074768}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_enDE393
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=109958&tt=290312_bexdll&babsrc=HP_ss&mntrId=56b79f850000000000008c89a58069c6
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109958&tt=290312_bexdll&babsrc=SP_ss&mntrId=56b79f850000000000008c89a58069c6
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\SearchScopes\{EEF22B67-6FCE-40D6-B72C-CBCA4A074768}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNF_enDE393
    IE - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109958&tt=290312_bexdll&babsrc=adbartrp&mntrId=56b79f850000000000008c89a58069c6&q="
    FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    [2012.03.31 00:57:33 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    O3 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKLM..\Run: [Driver Genius]  File not found
    O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O4 - HKU\S-1-5-21-1436790765-1549873921-2515239157-1008..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Adrian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
    O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Adrian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
    O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
    O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
    O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
    O16:64bit: - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
    O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Key error.)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
    O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
    O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
    [2012.03.31 00:57:26 | 000,000,000 | ---D | M] -- C:\Users\Adrian\AppData\Roaming\Babylon
    
    :Services
    KMService
    
    :Files
    ipconfig /flushdns /c
    
    :Commands
    [purity]
    [emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>


    Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


    ===== Punkt 2 =====

    Java - Einstellungen ändern, ggfs. aktualisieren und Cache leeren

    Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
    Programme und Funktionen aufrufen
    Prüfe, ob mehrere Java-Versionen installiert sind.
    Es sollte immer nur eine Java-Installation vorhanden sein.
    Sind mehrere vorhanden? Falls ja:
    Bis auf die aktuellste Java-Version, alle anderen über Systemsteuerung => Programme entfernen/deinstallieren.


    Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
    Java aufrufen

    Reiter Aktualisierung:
    Benachrichtigung ausgeben => Vor der Installation
    Haken machen bei Automatisch nach Aktualisierung suchen
    Button Erweitert => auf Wöchentlich einstellen => Ok
    Falls nicht die aktuellste Version installiert ist, über den Button Jetzt aktualisieren.
    Damit wird Java auf den neuesten Stand gebracht.
    Download (falls nötig): immer die Offline-Versionen wählen und hier herunterladen.
    User mit 64Bit-Systemen installieren besser die 32Bit-Version, da die Erfahrung gezeigt hat, dass die 64Bit-Version keinen Reiter Aktualisierung zeigt und häufig Probleme bereitet.
    Vista- und Windows 7 starten die Installationsdatei mit Rechtsklick als Administrator.



    Reiter Erweitert:
    Automatischer JRE-Download aufklappen
    auf Immer automatisch herunterladen einstellen



    Sollte der Reiter Aktualisierung bei Dir nicht vorhanden sein, hast Du vermutlich die 64Bit-Version installiert. Installiere auch noch die 32Bit-Version, dann solltest Du auch den Reiter haben.


    Java-Cache leeren

    Start => Systemsteuerung aufrufen und Anzeige/Ansicht auf Klassische Ansicht oder kleine Symbole umstellen
    Java aufrufen

    Reiter Allgemein:
    Unter Temporäre Internet-Dateien den Button Einstellungen drücken
    Haken entfernen bei Temporäre Dateien auf Computer belassen

    Button Dateien löschen drücken
    Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK


    ===== Punkt 3 =====

    Filesharing

    Ich poste mal folgenden Hinweis, nicht mit erhobenem Zeigefinger, sondern weil Du Dir dessen vielleicht nicht bewusst bist. Du benutzt P2P-Programme. Wenn Du ein sauberes System bekommen respektive behalten möchtest, solltest Du auf den Download von Software aus solchen Quellen verzichten, denn auch wenn das P2P-Programm selbst "sauber" ist, bewahrt es Dich nicht davor, evtl. schädliche Programme auf Deinen Rechner zu holen.
    Filesharing P2P Programme (Internet-Tauschbörsen) wie z. B. BitTorrent, eMule, KaZaa, Morpheus, Shareaza gehören leider zu den unseriösesten Anbietern von Downloads. Es werden sehr viele Schädlinge verbreitet, wenn überhaupt, nur ganz besonders vorsichtig damit umgehen und die Downloads vor dem Entpacken/Benutzen bei VirusTotal online prüfen lassen! Laut Studien sind 45% der über Tauschbörsen zum Download angebotenen Dateien mit Viren, Trojanern, Würmern oder sonstigen Schädlinge verseucht. Wie sollen die Viren-Programmierer auch sonst ihre Schätzchen verteilen! Hinzu kommt, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind und Du als Nutzer dadurch u. U. verleitet wirst, Straftaten zu begehen!
    Du siehst, die Gefahr ist sehr groß, sich über diese Wege zu infizieren. Aus diesem Grund bereinige ich ausschließlich Systeme, die keine solchen Programme installiert haben und bitte Dich daher alle Programme, die in diese Richtung gehen, während unserer Bereinigung komplett und rückstandlos über Systemsteuerung => Software zu deinstallieren => BitTorrent


    ===== Punkt 4 =====

    Firewall - Ausnahmen löschen (Windows 7)

    Du hast sehr viele Ausnahmen in den Firewall-Regeln aufgenommen. Stanardmäßig sieht das mehr oder weniger so aus:



    Schaue das bitte bei Dir durch und lösche die unnötigen wie folgt:

    Start => Systemsteuerung => Windows Firewall => "Ein Programm oder Feature durch die Windows-Firewall zulassen" anklicken
    Bei den zu löschende Ausnahmen den Haken entfernen => Entfernen => Abfrage mit "Ja" bestätigen.

    Wenn Dir Einträge unklar sind, mache mir bitte davon einen Screenshot nach dieser Anleitung.

  6. #6
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83
    danke schonmal für die ausführliche antwort

    bin derzeit in der schule und kann deinen anweisungen von daher noch nicht nachgehen.
    allerdings wollt ich dazu noch sagen das ich bei malwarebytes schon geguckt hab auf auf den reiter logfiles geguckt hab und dort nur logfiles von vorherigen scans (längere tage her) waren.

    die bluescreens sind nicht regelmäßig und manchmal bleiben sie auch aus von daher poste ich sobald ich zu hause bin mal die ergebnisse von bluescreen view, bis zum nächsten bluescreen wo ich die zeilen für dich abschreiben werde.
    natürlich werde ich auch die von dir verlangten programme löschen.
    danke trozdem schonmal für die bearbeitung meiner probleme

    ich melde mich sobald ich wieder zu hause bin mit den von dir verlangten informationen.

  7. #7
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.921
    allles klar, dann poste mir die vorhandenen Logfiles von Malwarebytes

  8. #8
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83
    so da bin ich wieder.

    die hab deine punkte jetzt schritt für schritt bearbeitet.
    im anhang findest du nun die malwarebyte logs (sry das ichs nich früher gemerkt hab habs wohl i-wie verpeilt das die logs mit den neusten daten unten stehen anstatt oben das is jetzt das aktuellste :P )
    und die otl logs

    habe die neuste java version heruntergeladen per aktualisieren reiter
    habe nun bit torrent deinstalliert
    und die unnötigen ausnahmen aus meiner firewall gelöscht

    auserdem habe ich die einstellungen für den nächsten bluescreen umgeändert wie du es wolltest

    mfg
    Angehängte Dateien Angehängte Dateien
    Geändert von BuZeMaNn (29.05.2012 um 18:21 Uhr)

  9. #9
    Stammgast
    Registriert seit
    28.05.2012
    Beiträge
    83
    da ich mein beitrag oben komischer weise grad nicht bearbeiten konnte muss ich das hier grade doch nochmal extra schreiben.
    war zwar nicht geplant das ich mich heute nochmal melde aber war grade so schön im internet am surfen facebook und so musik am hören
    als ich einen bluescreen bekam.

    wie verlangt hab ich die 4langen codes abgeschrieben die wie folgt lauten:

    ***STOP : 0x00000050
    (0xFFFFFA801C090828, 0x0000000000000000, 0xFFFFF80003C98CEB, 0x0000000000000002)

    Minidump im anhang
    Angehängte Dateien Angehängte Dateien

  10. #10
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.921
    Hallo BuZeMaNn,

    Code:
    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.
    
    
    Loading Dump File [C:\Users\Petra\Desktop\052912-31387-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available
    
    Symbol search path is: SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: 
    Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
    Product: WinNt, suite: TerminalServer SingleUserTS Personal
    Built by: 7601.17803.amd64fre.win7sp1_gdr.120330-1504
    Machine Name:
    Kernel base = 0xfffff800`03c4a000 PsLoadedModuleList = 0xfffff800`03e8e670
    Debug session time: Tue May 29 22:08:18.941 2012 (UTC + 2:00)
    System Uptime: 0 days 3:34:19.174
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ........................
    Loading User Symbols
    Loading unloaded module list
    ..............
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    Use !analyze -v to get detailed debugging information.
    
    BugCheck 50, {fffffa801c090828, 0, fffff80003c98ceb, 2}
    
    
    Could not read faulting driver name
    Probably caused by : memory_corruption ( nt!MiDeleteAddressesInWorkingSet+27f )
    
    Followup: MachineOwner
    ---------
    
    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    PAGE_FAULT_IN_NONPAGED_AREA (50)
    Invalid system memory was referenced.  This cannot be protected by try-except,
    it must be protected by a Probe.  Typically the address is just plain bad or it
    is pointing at freed memory.
    Arguments:
    Arg1: fffffa801c090828, memory referenced.
    Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
    Arg3: fffff80003c98ceb, If non-zero, the instruction address which referenced the bad memory
    	address.
    Arg4: 0000000000000002, (reserved)
    
    Debugging Details:
    ------------------
    
    
    Could not read faulting driver name
    
    READ_ADDRESS: GetPointerFromAddress: unable to read from fffff80003ef8100
     fffffa801c090828 
    
    FAULTING_IP: 
    nt!MiDeleteAddressesInWorkingSet+27f
    fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h]
    
    MM_INTERNAL_CODE:  2
    
    CUSTOMER_CRASH_COUNT:  1
    
    DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT
    
    BUGCHECK_STR:  0x50
    
    PROCESS_NAME:  MsMpEng.exe
    
    CURRENT_IRQL:  0
    
    TRAP_FRAME:  fffff8800893ccf0 -- (.trap 0xfffff8800893ccf0)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=0000058000000000 rbx=0000000000000000 rcx=fffffa801c090800
    rdx=00000000024b8009 rsi=0000000000000000 rdi=0000000000000000
    rip=fffff80003c98ceb rsp=fffff8800893ce80 rbp=fffff700010eda98
     r8=fffffa8006fe96e8  r9=0000000000000001 r10=00000000000025bf
    r11=fffff70001080000 r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei pl nz na pe nc
    nt!MiDeleteAddressesInWorkingSet+0x27f:
    fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h] ds:c7be:fffffa80`1c090828=????????????????
    Resetting default scope
    
    LAST_CONTROL_TRANSFER:  from fffff80003c6ff50 to fffff80003cc91c0
    
    STACK_TEXT:  
    fffff880`0893cb88 fffff800`03c6ff50 : 00000000`00000050 fffffa80`1c090828 00000000`00000000 fffff880`0893ccf0 : nt!KeBugCheckEx
    fffff880`0893cb90 fffff800`03cc72ee : 00000000`00000000 fffffa80`1c090828 00000000`00001000 ac200009`58580867 : nt! ?? ::FNODOBFM::`string'+0x43d86
    fffff880`0893ccf0 fffff800`03c98ceb : 00000003`00000000 2bd00000`10166867 fffff700`010eda70 fffff680`000b4b38 : nt!KiPageFault+0x16e
    fffff880`0893ce80 fffff800`03c99e42 : fffffa80`06fe9350 fffffa80`0000011f fffff8a0`000025bf fffff880`00000000 : nt!MiDeleteAddressesInWorkingSet+0x27f
    fffff880`0893d730 fffff800`03f9a6da : fffff8a0`0cb38840 fffff880`0893dae0 00000000`00000000 fffffa80`07445b50 : nt!MmCleanProcessAddressSpace+0x96
    fffff880`0893d780 fffff800`03f7dbdd : 00000000`000000ff fffff880`014d1701 000007ff`fff8a000 00000000`00000000 : nt!PspExitThread+0x56a
    fffff880`0893d880 fffff800`03cbbd1a : fffffa80`140e51c8 fffffa80`09f18b20 fffffa80`09eb0a30 fffffa80`140e50d8 : nt!PsExitSpecialApc+0x1d
    fffff880`0893d8b0 fffff800`03cbc060 : 00000000`0114dd10 fffff880`0893d930 fffff800`03f7db50 00000000`00000001 : nt!KiDeliverApc+0x2ca
    fffff880`0893d930 fffff800`03cc84f7 : 00000000`000002e8 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiInitiateUserApc+0x70
    fffff880`0893da70 00000000`7744137a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceExit+0x9c
    00000000`0114dae8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7744137a
    
    
    STACK_COMMAND:  kb
    
    FOLLOWUP_IP: 
    nt!MiDeleteAddressesInWorkingSet+27f
    fffff800`03c98ceb 488b4128        mov     rax,qword ptr [rcx+28h]
    
    SYMBOL_STACK_INDEX:  3
    
    SYMBOL_NAME:  nt!MiDeleteAddressesInWorkingSet+27f
    
    FOLLOWUP_NAME:  MachineOwner
    
    MODULE_NAME: nt
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  4f76721c
    
    IMAGE_NAME:  memory_corruption
    
    FAILURE_BUCKET_ID:  X64_0x50_nt!MiDeleteAddressesInWorkingSet+27f
    
    BUCKET_ID:  X64_0x50_nt!MiDeleteAddressesInWorkingSet+27f
    
    Followup: MachineOwner
    ---------
    Scheint also wie auch immer mit der Datei MsMpEng.exe zusammenzuhängen, die zu Windows Security Essentials gehört. Das bestätigt auch diese Fehlermeldung in den Ereignissen:

    Code:
    Error - 28.05.2012 08:28:15 | Computer Name = Adrian-PC | Source = Application Error | ID = 1000
    Description = Name der fehlerhaften Anwendung: MsMpEng.exe, Version: 4.0.1526.0,
     Zeitstempel: 0x4f711b15  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.17725,
     Zeitstempel: 0x4ec4aa8e  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000000000005324e
    ID des fehlerhaften Prozesses: 0x190  Startzeit der fehlerhaften Anwendung: 0x01cd3ccd17f470f9
    Pfad der fehlerhaften Anwendung: c:\Program Files\Microsoft Security Client\MsMpEng.exe
    Pfad des fehlerhaften Moduls: C:\Windows\SYSTEM32\ntdll.dll  Berichtskennung: 98cf8841-a8c0-11e1-a0e7-8c89a58069c6


    Machen wir erstmal folgendes:

    ===== Punkt 1 =====

    Zunächst schlage ich vor, Microsoft Security Essentials einmal ganz zu installieren. Gehe wie folgt vor:

    Lade die aktuelle Version herunter => http://windows.microsoft.com/de-DE/w...ity-essentials
    Trenne den Rechner vom Netz.
    Deinstalliere über Systemsteuerung => Programme die alte Version
    Starte den Computer neu.
    Installiere die neue Version.
    Verbinde den Rechner wieder mit dem Netz.
    Lasse die Signaturen aktualisieren und mache einen Komplettscan.
    Wenn Funde gemacht werden, teile mir bitte die Details dazu mit, inkl. Pfad- und Dateiname.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S