explorer.exe und drwtsn32.exe problem beim öffnen v. eigene dateien!

#0
05.04.2006, 16:17
...neu hier

Beiträge: 1
#31 Hallo,

hatte das gleiche Problem wie ihr.

Bei mir lag's am installierten DivX-Codec.

Falls ihr auch Codecs(DivX) drauf' habt, einfach deinstallieren!!!

Das ist ein XP-Bug seit SP2!
Seitenanfang Seitenende
06.04.2006, 09:43
...neu hier

Beiträge: 1
#32 Hallo Habe das selbe Problem, aber immer nur dann, wenn ich meine externe Festplatte an den Pc schließe, ist übrigens beim Laptop das selbe ... komischerweise habe ich als vergleich die externe Festplatte von einem Kumpel da und da läuft alles einwandfrei ... dateien verschieben kein Problem.
Erbitte dringend Hilfe! Was benötigt ihr zur Analyse? Habe folgende Daten aufgeschrieben, als die Fehlermeldung angezeigt wurde

AppName: explorer.exe AppVer: 6.0.2900.2180
ModName: ntdll.dll ModVer: 5.1.2600.2180
Offset: 0001888f

Habe auf beiden Rechnern Windows XP.

Logfile of HijackThis v1.99.1
Scan saved at 09:10:32, on 06.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
J:\External Storage 3.5\68300_AT2\TPPNTTRY.EXE
J:\External Storage 3.5\68300_AT2\TPPALDR.EXE
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\DOKUME~1\Sirko\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{502A462F-C9D2-4E15-864B-8A86F289820A}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

... bei abgesteckter Festplatte!

Ich hoffe, jemand kann mir helfen! Danke
Seitenanfang Seitenende
06.04.2006, 12:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 versuche den Fehler mit diesem Tool zu beheben:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/inuse-o.asp

oder: ( XP-CD zur Hand haben)
Start - Ausführen - schreib/kopiere rein:

sfc /scannow

nun wird Windows auf Fehler überprüft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 16:14
Member

Beiträge: 11
#34 hallo,
ich habe ein ähnliches problem. mein pc läuft total ok, wie mir auch der task manager zeigt - wenn nix läuft liegt die cpu-auslastung bei MAX 5%, also voll ok. wenn ich aber auf bestimmte dateien klicke, nimmt "explorer.exe" sofort 98-99% der auslastung ein. dabei brauche ich nichtmal doppel- oder rechtsklicken - mit links anklicken reicht irgendwie schon. wenn ich diese dateien dann löschen will wird mir gesagt, dass ich diese nicht löschen kann, weil sie von einem anderen programm benutzt werden, obwohl ich garnichts offen habe...
ich habe hijackthis mal laufen lassen, ICH kann damit aber nicht viel anfange, vielleicht weiß hier ja jemand bescheid (hab ich mit eingfügt)
ich wäre echt froh, wenn mir hier geholfen werden könnte.... schonmal danke

Logfile of HijackThis v1.99.1
Scan saved at 16:14:09, on 19.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Power DVD\PDVDServ.exe
D:\Musicmatch\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Benni\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werder.de/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B0496C47-58ED-46CA-AA30-8BEAB0DDAE71} - C:\WINDOWS\System32\mcjavi32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "D:\Power DVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MMTray] D:\Musicmatch\mm_tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {29D73455-3ADA-49BB-9067-44822F6728F5} (Google Video Uploader ActX) - http://www.joga.com/activex/uploadactx.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16dd6c371e890b862016/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



**
Seitenanfang Seitenende
19.04.2006, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 benni06

der PC ist verseucht....

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 19:11
Member

Beiträge: 11
#36 erstmal danke für die schnelle antwort!

ich habe das jetzt alles so laufen lassen und eingestellt, wie beschrieben, das problem habe ich aber leider immernoch...
was kann ich da denn machen?
Seitenanfang Seitenende
19.04.2006, 19:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37

Zitat

benni06 postete
erstmal danke für die schnelle antwort!

ich habe das jetzt alles so laufen lassen und eingestellt, wie beschrieben, das problem habe ich aber leider immernoch...
was kann ich da denn machen?
?????
Wie bitte ? "Haare rauf" ;)

Wo sind die 4 logs ...ich sehe keine................ Wozu schreibe ich und poste links, wenn du sie nicht liest...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 19:19
Member

Beiträge: 11
#38 ich hab das genauso gemacht, wies da steht...
was soll man denn sehen können?

und dann habe ich noch eine frage: wie kann ich eine datei löschen, von der mir der pc sagt, dass diese nicht löschbar ist, das sie grade von einem programm/benutzer benutzt wird?
oder wie kann ich herausfinden, welches programm das ist?

danke
Dieser Beitrag wurde am 19.04.2006 um 20:31 Uhr von benni06 editiert.
Seitenanfang Seitenende
19.04.2006, 22:47
Moderator

Beiträge: 7805
#39 Ueberpruefe Diese Datei C:\WINDOWS\System32\mcjavi32.dll bitte hier:
http://virusscan.jotti.org/de/

Dazu diesen Text in das obere weisse feld einfuegen:

C:\WINDOWS\System32\mcjavi32.dll
druecke dann abschicken und melde, ob Drweb dort einen Virus meldet.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.04.2006, 23:26
Member

Beiträge: 11
#40 hallo,
also mir wird dort das das hier angezeigt:
Dr.Web Trojan.DownLoader.6588 gefunden

und was jetzt?
Dieser Beitrag wurde am 20.04.2006 um 17:52 Uhr von benni06 editiert.
Seitenanfang Seitenende
22.04.2006, 01:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 benni06

wenn du mir nun noch die 4 Logs von datfindbat hier postest...also hierhin kopierst, helfe ich, den Trojaner zu loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2006, 17:12
Member

Beiträge: 11
#42 also ich weiß jetzt nicht genau, ob du das meinst, aber ich habe dieses hier:
Verzeichnis von C:\WINDOWS\system32

22.04.2006 16:36 4.212 zllictbl.dat
22.04.2006 16:36 42.709 vsconfig.xml
22.04.2006 16:36 17.145 nvapps.xml
18.04.2006 18:51 23.392 nscompat.tlb
18.04.2006 18:51 16.832 amcompat.tlb
18.04.2006 10:31 2.206 wpa.dbl
10.04.2006 18:33 51.733 plugin1.dat
07.04.2006 19:10 3.284 ANIWZCS{48651916-5C27-432B-BCF5-E675B6359656}
07.04.2006 16:43 3.284 ANIWZCS{E575E56D-5368-443D-B5FA-2191CF58BC25}
31.03.2006 11:02 173 TEMPSCP.SCP
31.03.2006 11:02 173 USER.SCP
31.03.2006 10:36 142.032 FNTCACHE.DAT
29.03.2006 12:58 39.992 perfc009.dat
29.03.2006 12:58 311.604 perfh009.dat
29.03.2006 12:58 48.156 perfc007.dat
29.03.2006 12:58 316.594 perfh007.dat
29.03.2006 12:58 723.744 PerfStringBackup.INI
27.03.2006 15:26 29.184 sstunst2.exe
22.03.2006 15:10 42.364 PUXPPLAT.UND
19.03.2006 13:05 98.304 CmdLineExt.dll
18.03.2006 15:48 57 peer.ini
16.03.2006 18:38 1.409 tmp24CF7.FOT
16.03.2006 18:25 176.167 rmoc3260.dll
16.03.2006 18:25 5.632 pndx5032.dll
16.03.2006 18:25 6.656 pndx5016.dll
16.03.2006 18:24 278.528 pncrt.dll
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
15.03.2006 23:51 3.284 ANIWZCS{A4F23EA1-5633-4C0C-A0A7-46E8A1097775}
15.03.2006 19:18 3.284 ANIWZCS{53E4CFEC-5897-41DB-810F-FB6ED37BD37B}
28.02.2006 18:18 484 ws423195.ocx
24.01.2006 20:34 118.784 sirenacm.dll

mit den daten, die dann geöffnet wurden ersetzt. meintest du das?

nochaml danke, dass du hilfst!!!;)
Seitenanfang Seitenende
22.04.2006, 18:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 ja, das will ich, aber es sind 4 Logs im Ganzen.
lies dir noch mal auf meiner seite durch, wie du die 4 logs erstellst
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2006, 20:22
Member

Beiträge: 11
#44 achso, jetzt habe ichs verstanden... ;)
ich habe das vorher auch schon gemacht, nur habe ich da diese kopien hier nicht reinkopiert...

Verzeichnis von C:\WINDOWS\system32

22.04.2006 20:10 17.145 nvapps.xml
22.04.2006 20:09 4.212 zllictbl.dat
22.04.2006 19:49 42.709 vsconfig.xml
18.04.2006 18:51 23.392 nscompat.tlb
18.04.2006 18:51 16.832 amcompat.tlb
18.04.2006 10:31 2.206 wpa.dbl

10.04.2006 18:33 51.733 plugin1.dat http://www.symantec.com/avcenter/venc/data/backdoor.bifrose.html

07.04.2006 19:10 3.284 ANIWZCS{48651916-5C27-432B-BCF5-E675B6359656}
07.04.2006 16:43 3.284 ANIWZCS{E575E56D-5368-443D-B5FA-2191CF58BC25}
31.03.2006 11:02 173 TEMPSCP.SCP
31.03.2006 11:02 173 USER.SCP
31.03.2006 10:36 142.032 FNTCACHE.DAT
29.03.2006 12:58 39.992 perfc009.dat
29.03.2006 12:58 311.604 perfh009.dat
29.03.2006 12:58 48.156 perfc007.dat
29.03.2006 12:58 316.594 perfh007.dat
29.03.2006 12:58 723.744 PerfStringBackup.INI
27.03.2006 15:26 29.184 sstunst2.exe
22.03.2006 15:10 42.364 PUXPPLAT.UND
19.03.2006 13:05 98.304 CmdLineExt.dll
18.03.2006 15:48 57 peer.ini
16.03.2006 18:38 1.409 tmp24CF7.FOT
16.03.2006 18:25 176.167 rmoc3260.dll
16.03.2006 18:25 5.632 pndx5032.dll
16.03.2006 18:25 6.656 pndx5016.dll
16.03.2006 18:24 278.528 pncrt.dll
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
15.03.2006 23:51 3.284 ANIWZCS{A4F23EA1-5633-4C0C-A0A7-46E8A1097775}
15.03.2006 19:18 3.284 ANIWZCS{53E4CFEC-5897-41DB-810F-FB6ED37BD37B}
28.02.2006 18:18 484 ws423195.ocx
24.01.2006 20:34 118.784 sirenacm.dll

Verzeichnis von C:\DOKUME~1\Benni\LOKALE~1\Temp

22.04.2006 20:10 16.384 ~DF3CDD.tmp
22.04.2006 19:56 16.384 ~DFAE2B.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 11.800.137.728 Bytes frei

Verzeichnis von C:\WINDOWS

22.04.2006 19:56 9.735 setupapi.log
22.04.2006 19:49 0 0.log
22.04.2006 19:49 50 wiaservc.log
22.04.2006 19:49 159 wiadebug.log
22.04.2006 19:48 2.048 bootstat.dat
22.04.2006 18:06 32.548 SchedLgU.Txt
21.04.2006 21:52 20.384 LUINSTALL.LOG
21.04.2006 21:16 21.489 comsetup.log
21.04.2006 21:16 65.377 iis6.log
21.04.2006 21:16 11.436 ntdtcsetup.log
21.04.2006 21:16 18.633 tsoc.log
21.04.2006 21:16 1.374 imsins.log
21.04.2006 21:16 919 tabletoc.log
21.04.2006 21:16 23.801 KB893803v2.log
21.04.2006 21:16 3.249 netfxocm.log
21.04.2006 21:16 1.742 msgsocm.log
21.04.2006 21:16 22.072 ocgen.log
21.04.2006 21:16 1.701 ocmsn.log
21.04.2006 21:16 30.086 FaxSetup.log
21.04.2006 21:16 15.382 msmqinst.log
21.04.2006 21:14 1.985.524 setupapi.log.0.old
19.04.2006 23:20 116 NeroDigital.ini
19.04.2006 20:22 142.341 wmsetup.log
19.04.2006 20:22 237 wmsetup10.log
19.04.2006 19:43 20.676 WindowsUpdate.log
19.04.2006 19:30 172.769 setupact.log
18.04.2006 18:50 316.640 WMSysPr9.prx
13.04.2006 13:50 2.620 ssconf2.bin
13.04.2006 13:31 364 mplaynow.log
11.04.2006 13:55 16.336 Windows Update.log
09.04.2006 17:10 334 nsw.log
09.04.2006 13:41 147 psnetwork.ini
09.04.2006 13:41 20 powerplayer.ini
05.04.2006 16:45 2.510 Microsoft.MIF
30.03.2006 20:12 722 win.ini
29.03.2006 12:37 1.426 cdPlayer.ini
20.03.2006 01:02 358 Wlink83p.ini
19.03.2006 13:24 25 SIERRA.INI
16.03.2006 11:34 59.168 zllsputility.exe
28.02.2006 18:19 63.488 xobglu16.dll
28.02.2006 18:19 23.552 xobglu32.dll
24.12.2005 14:58 69.504 MEMORY.DMP

Verzeichnis von C:\

22.04.2006 20:17 0 sys.txt
22.04.2006 20:16 7.243 system.txt
22.04.2006 20:15 341 systemtemp.txt
22.04.2006 20:15 100.879 system32.txt
22.04.2006 19:48 536.399.872 hiberfil.sys
22.04.2006 19:48 805.306.368 pagefile.sys
28.02.2006 18:18 484 os939168.bin
17.02.2005 14:14 245 debugInstaller.txt


und dann steht da noch: 4.Log--> Verzeichnis von C:\
was genau soll ich da kopieren?

war es das, was du haben wolltest?
und: ich habe ein aktuelles antiviren programm mal laufen lassen, das die von "raman" angesprochene datei "C:\WINDOWS\System32\mcjavi32.dll" sowie eine weitere ("C:WINDOWS/system/DRIVER/services.exe") in den quarantänezustand gesetzt hat

(tut mir leid, wenn ich n bisschen blöd frage, ich hab da aber keine große ahnung...;))
Seitenanfang Seitenende
22.04.2006, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 benni06

nvsvcd.exe - Backdoor.Win32.IRCBot.nw (Information)
http://virus-protect.org/artikel/dienste/nvsvcd.html

Trojan.Runas.A
http://virus-protect.org/artikel/dienste/runas.html

-----------------------------------------------------------------
1.
Klick Start>> Ausfuehren>> schreibe rein Services.msc und klick OK!

"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

NTSVCMGR

Windows Log

--------
2.
Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete NTSVCMGR

sc delete Windows Log

-------

3..
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

--------

4.
Gehe in die Registry
Start - Ausfuehren - regedit

bearbeiten - suchen - Wget

HKEY_CURRENT_USER\Software\Wget --> loeschen, wenn du es findest
HKEY_LOCAL_MACHINE\SOFTWARE\Wget

bearbeiten - suchen - Windows Log

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

bearbeiten--> suchen--> NTSVCMGR

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR


Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.



---------------

5..
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B0496C47-58ED-46CA-AA30-8BEAB0DDAE71} - C:\WINDOWS\System32\mcjavi32.dll
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

PC neustarten

--------------

6.

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\ws423195.ocx
C:\WINDOWS\system\driver\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

suche dann das Log vom Avenger und kopiere es hier.

----------

7.
mache einen Onlinescan mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »