Trojaner-Board - drwtsn32.exe + explerer.exe stürzen ständig ab

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - drwtsn32.exe + explerer.exe stürzen ständig ab (https://www.trojaner-board.de/58207-drwtsn32-exe-explerer-exe-stuerzen-staendig-ab.html)

drwtsn32.exe + explerer.exe stürzen ständig ab

Hallo Community,

mein erster Beitrag ist gleichmal eine Frage, weil ich einfach keinen Rat mehr weiß...

Habe bereits diesen Thread gefunden (http://www.trojaner-board.de/45230-e...aessig-ab.html), aber leider wurde hierzu die Lösung nicht gepostet.

System ist:
Athlon64 X2 4600+
Gainward GeForce 8800GTS 320
Board EM61SM/EM61PM
2x 1GB A-DATA EXTREME DDR2 800+
300 GB Western Digitals SATA HDD

Bin mir sicher keinen Virus oder sonstige Schädlinge eingefangen zu haben, Problem besteht auch bei frisch aufgesetztem BS. An sich nur bei Shell Aktionen wie löschen, Starmenü navigieren, Kontextmenüs aufrufen etc. Habe auch bereits den RAM ausgetauscht, Platte auf Fehler geprüft, alles ohne Erfolg.

Hat hierzu noch jemand eine Idee oder das gleiche Problem schonmal gelöst? Ich bin um jeden Hinweis dankbar.

Grüßle
Matthias

Hier noch ein Hijack This Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:21, on 19.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Java\bin\jusched.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Firefox\firefox.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{262DE4D8-1F49-4B6D-B5D7-B9F6148640DC}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{262DE4D8-1F49-4B6D-B5D7-B9F6148640DC}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4092 bytes

Nabend.

Hast du mal DrWatson deinstalliert, mit cCleaner aufgeräumt (Punkt 1&2) und dann mal geguckt ob das Problem weiterhin besteht?

Hi,

DrWatson habe ich bereits deaktiviert, Problem besteht weiterhin. CCleaner habe ich nocht nicht versucht, erscheint mir angesichts dessen, dass das System wirklich nagelneu aufgesetzt ist unwahrscheinlich, aber werds versuchen.

Noch als Ergänzung:
System läuft als Windows XP Home SP3 mit aktuellstem Patchstand. Seltsam ist auch, dass ich den IE7 nicht installiert bekomme. Die Installation schließt mit Fehler ab, von wegen nicht alle "Einstellungen konnten vom Setup gelöscht werden". In der ie7.log ist kein Fehler ersichtlich, keine unwritable Regkeys, keine Encryptionfehler etc..

Alles seltsam :(

€:
Im Log von DrWatson wiederholt sich immer wieder ein Zugriffsfehler (c0000005) bezogen auf die explorer.exe, aber recht aussagekräftiges steht weiter nicht dabei.

Hi (nur kurze Einmischung meinerseits ;o),

das kann über die Dateivorschau des Explorers bis zu einem fehlerhaften Kontextmenühandler und fehlerhaften Speicher reichen...
Hast Du die "Datenausführungsverhinderung" an?
(Arbeitsplatz->Eigenschaften->Erweitert->Systemleistung->Einstellungen->Datenausführungsverhinderung)
Schalte die mal ab...
Kontexthändler abschalten (was ebenso wie bei Dateivorschau ungewöhnlich für eine frische Installation wäre):
http://windowsxp.mvps.org/slowrightclick.htm
Dazu dann noch mehr:
http://www.pc-experience.de/wbb2/thread.php?sid=&postid=42964#post42964

Wie hast Du den Rechner aufgesetzt, formatiert inkl. MBR etc.?

Auch die nicht abgeschlossene Installation vom IE kann schuld sein, komplett deinstallieren und ggf. die Systemdateine prüfen lassen
(Start->Ausführen->sfc /scannow)

chris

Hallo,

danke erstmal für die Antworten.

Den PC hab ich mit Windows Bordmitteln neu aufgesetzt. Installation gestartet, Partitionen gelöscht, neu formatiert, System Partition erstellt, installiert.

Die Datenausführungverhinderung steht auf Standard (nur Win.Programme/Dienste), Alternative wäre nur sie für alle Programme zu aktivieren. Hatte ich schon versucht, ändert nichts (wäre auch bissl unlogisch^^). Die IE7 Installation hätte eher als Abhilfe dienen sollen, da das Problem schon vorher auftrat. sfc kann ich leider nicht (sinnvoll) ausführen, da ich nach der Installation gleich auf SP3 gepatched hatte, meine BS CD aber ein XP SP1a beherbergt -.-

Die Sache mit den Kontextmenu Handlers schau ich mir heute Abend mal an und arbeite den anderen verlinkten Thread durch.

Danke an dieser Stelle
Matthias

Ich glaube ich hab den Schuldigen gefunden.

Es scheint mir die Shell Extension von Sony DADC "SecuROM context menu for Explorer" (CmdLineExt.dll) gewesen zu sein. Mit dem Löschen des Shlüssels [HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\CmdLineExt] der auf die entsprechende CLSID verweist, konnte das Problem zumindest bis jetzt behoben werden.

Installierte Spiele die via SecuROM geschützt sind und diese offenischtlich mitgebracht haben laufen auch ohne den Key noch. Der Witz ist, dass dieses Problem offensichlich sogar bekannt ist. Es besteht wohl in der DLL-Version 1.1.224.0 und soll mit der 1.1.225.0 gefixed sein. Die DLL hab ich auf die Schnelle in der Version nicht gefunden, allerdings meine ich ist es eh fraglich ob man sie haben will... Weiß denn jemand was sie genau macht?

Danke nochmal soweit, ich werd die Situation mal beobachten und nochmal nachhaken wenns nicht geholfen hat ;)

Matthias