drwtsn32.exe

  • #1
S

setho

Guest
hallo,

immer wenn ich im arbeitsplatz was geöffnet habe ist das dann abgestürzt. alles andere funktioniert gut.

hab dann gelesen dass es der drwtsn32.exe virus ist.

hab dann folgendes gemacht: diesen schlüssel gelöscht
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AeDebug

jetzt kommt bei arbeitsplatz imm die meldung:

Die Anweisung in 0*02ct4156 verweist auf Speicher. Der Vorgang written konnte nicht auf dem Speicher durchgeführt werden

dann stüzt arbeitsplatz auch ab, jedes mal


danke
 
  • #2
setho schrieb:
hab dann gelesen dass es der drwtsn32.exe virus ist.
Zum Vergrößern anklicken....
dem ist aber nicht so
http://www.wintotal.de/Spyware/index.php?Filter=D#Spyware1438


hab dann folgendes gemacht: diesen schlüssel gelöscht
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AeDebug
Zum Vergrößern anklicken....
http://www.wintotal.de/Tipps/Eintrag.php?TID=510

Start - Ausführen: DRWTSN32 -i
stellt Dr. Watson als Standardanwendungs-Debugger wieder her.

pan_fee
 
  • #3
ok danke

jetzt ist zwar die fehlermeldung: Die Anweisung in 0*02ct4156 verweist auf Speicher.. wieder weg, aber eigene dateien oder auch arbeitsplatz stüzt trotzdem immer ab wenn ich reingehe

help
 
  • #5
hier, bitte schön:

Logfile of HijackThis v1.99.1
Scan saved at 11:32:44, on 09.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Matthias\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Matthias
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - deposito.hostance.net/dialer/604485.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB6C5A12-FF84-4EB1-BA78-D3D28FF01AA6}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
  • #6
setho schrieb:
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Programme\iMeshBar\bar\1.bin\IMESHBAR.DLL
Zum Vergrößern anklicken....
wenn es die LITE Version ist, ist dieses Programm spywarefrei

O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
Zum Vergrößern anklicken....
Variante von BKDR_WOMANIZ.C, RBOT-FP Worm, W32/Spybot-BX:
http://www.wintotal.de/Spyware/index.php?Filter=W#Spyware150

O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe

O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
Zum Vergrößern anklicken....
W32/Rbot-AFL, WORM_SDBOT.BDJ:
http://www.wintotal.de/Spyware/index.php?Filter=P#Spyware4984

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - deposito.hostance.net/dialer/604485.exe
Zum Vergrößern anklicken....
Trojan.Win32.Dialer.bn, Infotel srl:
http://www.wintotal.de/Spyware/index.php?Filter=6#Spyware6417


im abgesicherten Modus [F8] mit deaktivierter Systemwiederherstellung die Schädlinge löschen.

pan_fee
 
  • #7
Ich bin deutlich weniger mit der Technik bewandt als du, deswegen meine Frage:

Wie genau finde ich, wenn ich mit F8 gestartet habe, die Schädlinge um sie dann endlich zu vernichten?


Seth
 
  • #8
setho schrieb:
Wie genau finde ich, wenn ich mit F8 gestartet habe, die Schädlinge um sie dann endlich zu vernichten?
Zum Vergrößern anklicken....
im Verzeichnis selbst

PCDpan_fee schrieb:
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
Zum Vergrößern anklicken....

hier mußt du in die Registry (Start/Ausführen/regedit)
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe

O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
Zum Vergrößern anklicken....
Autostarteinträge (RUN) finden
http://www.wintotal.de/Tipps/Eintrag.php?TID=233

hier unter C:\WINDOWS\Downloaded Program Files
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - deposito.hostance.net/dialer/604485.exe
Zum Vergrößern anklicken....
ansonsten mit der Windows-Suche nach Schädlingsnamen suchen.

Schau auch hier mal rein:
http://www.wintotal-forum.de/index.php/topic,84123.0.html
es geht zwar um den SpySheriff Schädling, aber speziell SpySheriff finden und Spysheriff aus der Registry löschen wären für deine Schädlinge auch interessant.

pan_fee
 
  • #9
danke für die hilfe, aber leider ist mir das zu kompliziert :-[
 
  • #10
OK, geh auf Start - Ausführen - msconfig - OK - Systemstart und schau, ob ein Schädlingselement auftaucht, falls ja - deaktivieren und klick OK.

Deaktiviere die Systemwiederherstellung, siehe hier:
http://www.wintotal.de/Tipps/Eintrag.php?TID=170

Starte dann nochmals HijackThis und setzte ein Häkchen vor die Schädlinge und klickt dann auf den Button Fix checked - lasse dein Browser dabei geschlossen.

Lösche deine temporären Dateien in den Internetoptionen.

Systemneustart und nun suche (Start/Suchen) die Schädlinge (winupdate.exe, p2pnetworking.exe, 604485.exe) - lösche sie (Rechtsklick löschen).

Starte HijackThis abermals und schau, ob die Schädlinge noch vorhanden sind, wenn nein aktiviere wieder die Systemwiederherstellung, wenn doch wiederhole den Vorgang bei geschlossenen Browser.

Viel Erfolg

pan_fee
 
  • #11
Mein Problem ist gelöst, dank dir, pan_fee. dankeschön!

Benutze stets aktualisierte Sicherheitsprogramme(Antivir, Zone Alarm), wie konnte es passieren?


Seth
 
  • #12
ach man, heute früh ist das problem wieder da :-\
 
  • #13
Antwort #7 und #9 nochmals durchgehen

pan_fee
 
  • #14
Hallo,


die Viren sind im hijack nicht mehr da...:(

und nun? :-X
 
  • #15
  • #16
die haben sich diesbezüglich noch nicht gemeldet-- :-*
 
  • #17
gibt es jetzt noch eine Möglichkeit die Viren zu entfernen? :'(
 
  • #18
  • #19
also, im hijack werden sie nicht mehr angezeigt, - aber arbeitsplatz etc. stürzt immer noch ab wenn ich reingehe, also virus doch noch irgendwo :(
 
  • #20
setho schrieb:
also, im hijack werden sie nicht mehr angezeigt
Zum Vergrößern anklicken....
hast du auch mal händisch nach den Schädlingen gesucht (Explorer/Registry)?
Intensiv Virenscann durchführen.

aber arbeitsplatz etc. stürzt immer noch ab wenn ich reingehe
Zum Vergrößern anklicken....
Reparatur- statt Neuinstallation:
http://www.wintotal.de/Tipps/Eintrag.php?TID=911

pan_fee
 
Thema:

drwtsn32.exe

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben