macholino

hallo leute, trotz aller sicherheitsvorkehrungen hat sich mein rechner wohl einen trojaner o.ä. eingefangen:

nach dem hochfahren von xp home, ist nach ca. 2 min die cpu zu 100% ausgelastet. wenn ich im taskmanager den drwtsn32.ex (das sit wohl das dr. watson proggi von windows) läuft der rechner wieder. jedoch ist dann auch die sygate firewall abgeschaltet. dr. watson taucht nicht immer auf beim neustart, hier ist mein hiijack protokoll. wer kann mir sagen was ich löschen muss?

für hilfe, besten dank im voraus!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:09:39, on 04.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\spoolsv.exe
E:\Programme\Spyware Doctor\SDTrayApp.exe
I:\PROGRA~1\AVG\AVG8\avgtray.exe
E:\Programme\RocketDock\RocketDock.exe
I:\WINDOWS\system32\ctfmon.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
I:\Programme\Logitech\SetPoint\SetPoint.exe
I:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
I:\Programme\Bonjour\mDNSResponder.exe
I:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Spyware Doctor\svcntaux.exe
E:\Programme\Spyware Doctor\swdsvc.exe
I:\PROGRA~1\AVG\AVG8\avgrsx.exe
I:\WINDOWS\system32\svchost.exe
I:\PROGRA~1\AVG\AVG8\avgemc.exe
E:\Programme\Adobe\Adobe Photoshop CS3\Photoshop.exe
I:\WINDOWS\system32\taskmgr.exe
I:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
E:\Programme\Sygate\SPF\smc.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\Programme\Outlook Express\msimn.exe
I:\Programme\Windows Media Player\wmplayer.exe
E:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - I:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - I:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - I:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SDTray] "E:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG8_TRAY] I:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDF3 Registry Controller] "E:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\ \RegistryController.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [RocketDock] "E:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = I:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Google Search - res://I:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://I:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://I:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://E:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\I EShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://I:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://I:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C7E56AA-8C5C-4DF2-9293-6CBCF151E49A}: NameServer = 217.237.150.205 217.237.149.142
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - I:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - I:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - I:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - I:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - I:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\SPF\smc.exe

--
End of file - 6794 bytes


sicherlich wär es das einfachste diesen dr. watson zu entfernen, doch ich befürchte, dass das hauptproblem (trojaner) dadurch nicht gelöst wird.

ggrüße aus dem norden

lino

Avira

Der speichert deine anwendungen und daten wenn der PC hängt.
aber das der das imm sekundentakt macht ist komisch.


EDIt:Lösche in der Registry in dem du in start-Ausführen->Regedit

KEY_LOCAL_MACHINE \ SOFTWARE \Microsoft \ WindowsNT \ CurrentVersion

Dam usst du AeDebug löschen und der Dr.Watson get in Rente.

macholino

danke für die schnelle antwort! den dr. watson in rente schicken ist ne kleinigkeit, doch wie ich schon erwähnte, ist damit wahrscheinlich die ursache nicht beseitigt. nur das symtom. ich tippe nach wie vor auf nen trojaner. wer ist hier der sherlock holmes und findet den in meinem logß

danke für euer unterstützung!

Avira

Dein Logfiule ist sauber.

macholino

das ist gut zu wissen! kannst du mir verraten warum der watson meine firewall mit ausschaltet, wenn ich den (watson)dienst deaktiviere? ich hab den spyware dr. und die sygate schon ne ganze weile drauf und watson hat immer still gehalten. warum mach der plötzlich den zauber? ich lerne gerne dazu!

nichts im leben ist so beständig wie die veränderung...

Avira

Das aknnsein das du ausversehen mal was umgestellt hasst .Und jett macht dein Doctor stress.Schalte mal doctor Watson aus und Installiere Sygate neu.

macholino

ich hab das system ers vor ner woche neu aufgespielt. dr. watson macht nicht immer stress. ich muss warten bis er wieder auftaucht, dass werde ich die sygate neu installieren.

schönes wochenende und danke für die beständige unterstützung

Avira

jo nichts zu danken.

macholino

hi avira,

dr. watson war sehr eifrig: die logdatei die er zum dokumentieren geschrieben hat war 4,2GB!!! groß. ist das üblich? hab die sygate deinstalliert, die registry geputzt und neu installiert. bis jetzt hält watson still...

Avira

Also ich hatte noch nie Probleme mit Dr. Watson und ich weis deswegen auch net wie groß es normal ist.Aber wenn das gut funzt. brauchst du dir keine sorgen zu machen.