|
DRWTSN32.exe Problem! Trojaner? Hallo zusammen! Seit gestern Abend habe ich das Problem das wenn ich einen Ordner öffne alles still steht und dann die DRWTSN32.exe beendet wird. Das deutet normalerweise (google wissen) auf einen Trojaner hin. Habe schon AD Aware, Spybot und Cleanup angewendet, doch das Problem besteht immer noch. Hier mein neues HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 11:43:51, on 22.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\QLink 1.0\devmonit.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\UG\Desktop\Anti Trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor.lnk = C:\Programme\QLink 1.0\devmonit.exe O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119971084482 O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe jetzt weiß ich nicht weiter ist da noch was negatives bei? danke schon mal für die Hilfe! gruß -ULI |
Servus, UG aus BO! Lass´ mal die Datei Zitat:
Zitat:
Also, bis später nach der Virenprüfung stupormundi |
Hallo, der hat nichts gefunden.... habe es trotzdem mal befixt.... weiß nicht ob es vorher war aber manche Ordner gehen auf.... glaube wenn da eine .avi drin liegt startet DRWTSN32.exe und blockiert alles. Werde noch ein wenig testen... was kann das sein? Gruß -ULI |
Servus, UG aus BO! Zitat:
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Mode laufen und poste das Ergebnis! Habe Geduld, bei richtiger Einstellung läuft der Scan 1 Stunde und länger bis dann, stupormundi |
Zitat:
Nur zur Information CTFMON.EXE deaktivieren Plattform: Win 95, Win 98, Win ME, Win NT, Win 2000, Win XP Anwendung: OfficeXP Der Prozess CTFMON.EXE bremst vor allem ältere Systeme merklich aus. Bei dem Prozess handelt es sich um einen Bestandteil von Office XP. Die Datei gehört zur "Alternativen Benutzereingabe", welche als "Gemeinsam genutztes Office-Feature" installiert wurde. Um CTFMon.exe dauerhaft zu entfernen, muss man über die Systemsteuerung -> Software ->Microsoft Office, Feature hinzufügen oder entfernen den Eintrag entfernen, indem man diesen als "nicht verfügbar" markiert. Die Treiber der Alternativen Benutzereingabe müssen ebenfalls noch entfernt werden. Hierzu geht man in der Systemsteuerung auf Regions- und Sprachoptionen - Sprachen - Details - und löscht dort alle Treiber außer den normalen Tastaturtreiber. Zuletzt müssen noch 2 DLLs deinstalliert werden: Über Start -> Ausführen gibt man: Regsvr32.exe /u msimtf.dll und Regsvr32.exe /u msctf.dll ein. Dadurch ist der Wechsel zu alternativen Sprachschemata nicht mehr möglich! Microsoft Knowledge Base: Q282599 Gruß Riesurf |
@riesurf! thx for info Deaktivieren der ctfmon ist nicht meine Absicht gewesen. Wollte nur sichergehen, dass sich hinter diesen speziellen Eintrag nichts Böses versteckt! Warten wir mal escan ab. Bis dann stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board