drwtsn32.exe

Dieses Thema drwtsn32.exe im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von setho, 8. Okt. 2005.

Thema: drwtsn32.exe hallo, immer wenn ich im arbeitsplatz was geöffnet habe ist das dann abgestürzt. alles andere funktioniert gut....

  1. hallo,

    immer wenn ich im arbeitsplatz was geöffnet habe ist das dann abgestürzt. alles andere funktioniert gut.

    hab dann gelesen dass es der drwtsn32.exe virus ist.

    hab dann folgendes gemacht: diesen schlüssel gelöscht
    HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AeDebug

    jetzt kommt bei arbeitsplatz imm die meldung:

    Die Anweisung in 0*02ct4156 verweist auf Speicher. Der Vorgang written konnte nicht auf dem Speicher durchgeführt werden

    dann stüzt arbeitsplatz auch ab, jedes mal


    danke
     
  2. dem ist aber nicht so
    http://www.wintotal.de/Spyware/index.php?Filter=D#Spyware1438


    http://www.wintotal.de/Tipps/Eintrag.php?TID=510

    Start - Ausführen: DRWTSN32 -i
    stellt Dr. Watson als Standardanwendungs-Debugger wieder her.

    pan_fee
     
  3. ok danke

    jetzt ist zwar die fehlermeldung: Die Anweisung in 0*02ct4156 verweist auf Speicher.. wieder weg, aber eigene dateien oder auch arbeitsplatz stüzt trotzdem immer ab wenn ich reingehe

    help
     
  4. hier, bitte schön:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:32:44, on 09.10.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Winamp\winampa.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\eMule\emule.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\DOKUME~1\Matthias\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Matthias
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
    O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - deposito.hostance.net/dialer/604485.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DB6C5A12-FF84-4EB1-BA78-D3D28FF01AA6}: NameServer = 217.237.149.161 217.237.151.225
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
     
  5. wenn es die LITE Version ist, ist dieses Programm spywarefrei

    Variante von BKDR_WOMANIZ.C, RBOT-FP Worm, W32/Spybot-BX:
    http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware150

    W32/Rbot-AFL, WORM_SDBOT.BDJ:
    http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware4984

    Trojan.Win32.Dialer.bn, Infotel srl:
    http://www.wintotal.de/Spyware/index.php?Filter=6#Spyware6417


    im abgesicherten Modus [F8] mit deaktivierter Systemwiederherstellung die Schädlinge löschen.

    pan_fee
     
  6. Ich bin deutlich weniger mit der Technik bewandt als du, deswegen meine Frage:

    Wie genau finde ich, wenn ich mit F8 gestartet habe, die Schädlinge um sie dann endlich zu vernichten?


    Seth
     
  7. im Verzeichnis selbst

    hier mußt du in die Registry (Start/Ausführen/regedit)
    Autostarteinträge (RUN) finden
    http://www.wintotal.de/Tipps/Eintrag.php?TID=233

    hier unter C:\WINDOWS\Downloaded Program Files
    ansonsten mit der Windows-Suche nach Schädlingsnamen suchen.

    Schau auch hier mal rein:
    http://www.wintotal-forum.de/index.php/topic,84123.0.html
    es geht zwar um den SpySheriff Schädling, aber speziell SpySheriff finden und Spysheriff aus der Registry löschen wären für deine Schädlinge auch interessant.

    pan_fee
     
  8. danke für die hilfe, aber leider ist mir das zu kompliziert :-[
     
  9. OK, geh auf Start - Ausführen - msconfig - OK - Systemstart und schau, ob ein Schädlingselement auftaucht, falls ja - deaktivieren und klick OK.

    Deaktiviere die Systemwiederherstellung, siehe hier:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=170

    Starte dann nochmals HijackThis und setzte ein Häkchen vor die Schädlinge und klickt dann auf den Button Fix checked - lasse dein Browser dabei geschlossen.

    Lösche deine temporären Dateien in den Internetoptionen.

    Systemneustart und nun suche (Start/Suchen) die Schädlinge (winupdate.exe, p2pnetworking.exe, 604485.exe) - lösche sie (Rechtsklick löschen).

    Starte HijackThis abermals und schau, ob die Schädlinge noch vorhanden sind, wenn nein aktiviere wieder die Systemwiederherstellung, wenn doch wiederhole den Vorgang bei geschlossenen Browser.

    Viel Erfolg

    pan_fee