Spybot crashes while performing a Search

[Miregal]

Everytime we try to do a system scan Spybot crashes at about 1% into the process. It gives back this error message.

Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: SpybotSD.exe
Anwendungsversion: 1.6.2.46
Anwendungszeitstempel: 2a425e19
Fehlermodulname: sqlite3.dll
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 46d1dcff
Ausnahmecode: c0000005
Ausnahmeoffset: 00024143
Betriebsystemversion: 6.0.6002.2.2.0.768.2
Gebietsschema-ID: 1031
Zusatzinformation 1: bb50
Zusatzinformation 2: d0715adb6075d50ac11be47860fcc11a
Zusatzinformation 3: c532
Zusatzinformation 4: 60850dc9d4b7374feae19b21b05f8a19

Which obviosly is in german since we're running it on a German Windows Vista (64 Bit).

Immuninizing as well as the Tea-Timer and any updates work without problems. If we randomly replace the sqlite3.dll the error message gives back a different dll. We've tried removing and reinstalling it as well as older version including 1.61 and 1.5 but there was no change at all.

A Hijackthis Logfile didn't bring any obviosly harmful results either, but just in case

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:55, on 20.12.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\avmwlanstick\WLanGUI.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\Krait\razerhid.exe
C:\Program Files (x86)\Razer\Krait\razerofa.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CBAbzockschutz.InitToolbarBHO - {2e250b90-0e7a-42a3-9d65-e39f9f227fa4} - mscoree.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: COMPUTERBILD-Abzockschutz - {353e2a48-6254-4bd3-88f4-3b51a0ca7870} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [AVMWlanClient] "C:\Program Files (x86)\avmwlanstick\wlangui.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Krait] "C:\Program Files (x86)\Razer\Krait\razerhid.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CC45AD4-890F-4E1C-8818-483C740FBAD2}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CC45AD4-890F-4E1C-8818-483C740FBAD2}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CC45AD4-890F-4E1C-8818-483C740FBAD2}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0CC45AD4-890F-4E1C-8818-483C740FBAD2}: NameServer = 192.168.2.1
O23 - Service: 8hut56u (7truityui) - Unknown owner - C:\Program Files (x86)\Common Files\yrujg2wn\ginder86.exe (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files (x86)\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Program Files (x86)\Nero\Nero BackItUp 4\IoctlSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: UPnPService - Magix AG - C:\Program Files (x86)\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8235 bytes

We don't know what to try anymore and would apreciate any help that could get us to using Spybot normally again.

[Miregal]

Irgendwie hab' ich das deutsche Forum gestern gar nicht gesehen.

Aber nun gut, Für die, die des Englischen nicht mächtig sind. Spybot hängt sich bei uns immer während der normalen Überprüfung auf. Er bringt die Fehlermeldung, dass das Programm geschlossen werden muss und unter den Details steht

Problemsignatur:
Problemereignisname: APPCRASH
Anwendungsname: SpybotSD.exe
Anwendungsversion: 1.6.2.46
Anwendungszeitstempel: 2a425e19
Fehlermodulname: sqlite3.dll
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 46d1dcff
Ausnahmecode: c0000005
Ausnahmeoffset: 00024143
Betriebsystemversion: 6.0.6002.2.2.0.768.2
Gebietsschema-ID: 1031
Zusatzinformation 1: bb50
Zusatzinformation 2: d0715adb6075d50ac11be47860fcc11a
Zusatzinformation 3: c532
Zusatzinformation 4: 60850dc9d4b7374feae19b21b05f8a19

Die "sqlite3.dll" auszutauschen oder umzubenennen hat den selben Fehler zur Folge, nur mit einer anderen dll.

Alle anderen Funktionen von Spybot Funktionieren einbandfrei. Man kann Immunisieren, der Tea Timer läuft und sogar der Scan per Kontextmenü funktioniert ohne Probleme.

Da Spybot vor ein paar Wochen noch normal lief haben wir natürlich auch ältere Versionen probiert, da wir dachten es könnte vielleicht an einem Update liegen. Jedoch hatten wir weder mit 1.61 noch mit 1.5 Erfolg. Der Fehler bleibt derselbe. Wir haben auch einen Hijackthis Scan durchgeführt und die Log Datei gepostet (siehe oben). Wir sind mit unserem Latein ziemlich am Ende und würden uns über jede Hilfe freuen.

[spybotsandra]

Hallo,

Das Log sieht sauber aus.
Version 1.6.2 haben Sie auch schon deinstalliert und neu installiert, oder?

Der Scan startet, aber direkt am Anfang hört er dann auf und Spybot wird beendet? Kann man sehen bei welchem Produkt?

Haben Sie noch andere Sachen laufen während der Spybot Scan läuft?

Welche Sicherheitssoftware haben Sie installiert?

Mit freundlichen Grüßen
Sandra
Team Spybot

[Miregal]

Version 1.6.2 haben Sie auch schon deinstalliert und neu installiert, oder?
Sandra
Team Spybot

Ja natürlich. Ergab sich ziemlich von selbst, als wir die älteren Versionen ausprobiert haben.

Der Scan startet, aber direkt am Anfang hört er dann auf und Spybot wird beendet? Kann man sehen bei welchem Produkt?
Team Spybot

Genau, Der Scan startet und Spybot (oder eben Windows) bringt dann während der suche einen schweren Ausnahmefehler und Spybot muss beendet werden. Das letzte was angezeigt wird ist "Produktüberprüfung läuft (3086/779253: FAVORIT-NETWORK)". Ob er sich jetzt schon beim vorherigen Produkt oder bei diesem Produkt aufhängt kann ich nicht sagen.

Haben Sie noch andere Sachen laufen während der Spybot Scan läuft?

Den Antivir Guard von Antivir personal Edition, den Audiomanager der Realtek Soundkarte, sowie Tuneup Utilities 2010.

Welche Sicherheitssoftware haben Sie installiert?

Wie schon erwähnt "Antivir: Personal Edition", "Spybot" selbst und den Windows eigenen "Defender".

[Matt]

Hallo,

Das Log sieht sauber aus.

Da bin ich anderer Meinung!

Nur ein Beispiel:

Trojan.Agent:

O23 - Service: 8hut56u (7truityui) - Unknown owner - C:\Program Files (x86)\Common Files\yrujg2wn\ginder86.exe (file missing)

Ich bitte das TeamSpybot, dieses Variante des Trojaners den Erkennungsregeln hinzuzufügen.

[Matt]

Nachtrag:

Informationen für das TeamSpybot

ginder86.exe:
MD5=EC4063D7B003AA9990F52EB894DD84E9
filesize=48,128 bytes

Danke!

P.S.: Habe meine SBI-Datei schon hochgeladen. Sonst hätte ich diesen Trojaner gerne noch mit aufgenommen.

[Miregal]

"Nur ein Beispiel" heißt das System mit mit mehreren Trojanern infiziert? Etwa alle (File missing) Einträge?

Wenn die Dateien jedoch fehlen oder irgendwie getarnt sind kann ich sie ja mit Hijackthis oder ähnlichen Programmen nicht entfernen. Habe ich dann eine Möglichkeit das System wieder sauber zu bekommen, oder ist eine Formatierung und Neuinstallation angesagt?

[Matt]

"Nur ein Beispiel" heißt das System mit mit mehreren Trojanern infiziert? Etwa alle (File missing) Einträge?

"Nur ein Beispiel" heißt in diesem Fall nur, dass mir diese Zeile sofort ins Auge gestochen ist, als ich das Logfile gesehen habe.
Ich habe mir nicht dein ganzes Logfile durchgesehen und kann nicht sagen, wie sehr dein Rechner infiziert ist.
Der Ausdruck "(file missing)" hat damit nichts zu tun.

Wenn die Dateien jedoch fehlen oder irgendwie getarnt sind kann ich sie ja mit Hijackthis oder ähnlichen Programmen nicht entfernen. Habe ich dann eine Möglichkeit das System wieder sauber zu bekommen, oder ist eine Formatierung und Neuinstallation angesagt?

Sofern du des Englischen einigermaßen mächtig bist, empfehle ich dir folgendes:
Lies dir das folgende Thema durch:
"BEFORE you POST"(READ this Procedure BEFORE Requesting Assistance)

Anschließend kannst du dein eigenes Thema im Malware Removal Forum aufmachen, wo dir ein Experte helfen wird.
Da ich derzeit noch in der Ausbildung bin, was das Analysieren von Logfiles betrifft, darf ich dir nicht helfen.

Mit Neuinstallation oder Formatierung wäre ich vorsichtig. Meist ist das nicht notwendig.

[Matt]

Nachtrag:
ginder86.exe:
MD5=EC4063D7B003AA9990F52EB894DD84E9
filesize=48,128 bytes

Aufgenommen.