Aggressive Viren o.ä. Spyware Protect 2009, drwtsn32.exe

#16 http://winfuture.de/UpdatePack
versuch mal das. welches antivirenprogramm verwendest du?

#17 jop, mach ich. danke. - ehm, sp3 brauch ich aber nicht, oder?!

wie gesagt, atm gar keins.

achja, was mich irgendwie stutzig macht, ist folgendes:

im Task-Manager zeigt der mir ständig 80-99% leerlaufprozess an, was ja nicht ungewöhnlich ist. ungewöhnlich hingegen ist aber, dass trotzdem ständig 50-80% ausgelastet sind, laut anzeige Oo

#18 hmm doch... du brauchst das sp3...
danach wirst du dir mal eine testversion von avira premium hohlen.
also www.avira.de
ich geb dir n link, da bekommst ne 6 monate testlizens. dann kümmer dihc um ein richtiges windows das bekommst nachgeschmissen...
lad dir dann gleich das sp3 und danach die fehlenden updates. wenn du antivir drauf hast möchte ich ein hijackthis-log sehen
https://license.avira.com/de/promoti...3fgnsu051rwq81
das ist die lizens für die premium
http://board.protecus.de/t23979.htm
so bitte dein antivir einstellen. achte darauf, dass die rootkitsuche an ist. nun schließe deine externe platte an,. update antivir natürlich scanne nun all deine laufwerke, funde in quarantäne und das log posten

#19 sp3 download läuft.. dauert mit ner 2k leitung ein wenig ._.

avira ist installiert, allerdings nur mit 30 tage testversion, weil der link nicht ging, aber ist ja egal.
ehm, was heißt richtiges windows?! ich werd mir bestimmt kein xp prof kaufen o.O ich benutze die version seit jahren und nur weil ich mir jetzt aus eigenverschulden einen virus gefangen hab, werd ich nicht umsteigen. schon gar nicht für geld, welches ich nicht habe...

antivir ist eingestellt.

achja, die 2.platte ist nicht extern, das ist ne normale IDE-Platte.

#20 naja dann lad erst mal das sp3 evtl. brenn es gleich mal auf ne cd...
dann mach es drauf schließe die platte an und lass antivir laufen. der link sollte ehen evtl. mal speter probieren aber testversion von 30 tagen ist auch erst mal gut... also lad das sp3 dann können wir deine platten scannen und dann sp3 drüberbügeln... oder umgekehrt wie du magst. auf jeden fall beide platten scannen funde in quarantäne und log posten

#21 Kurzer zwischenbericht, weil ich jetzt keine zeit habe weiterzumachen:

SP3 ist installiert, updates mach ich jetzt noch.

Hab spaßenshalber mal so nen scan mit antivir gemacht, aber ohne die 2. ide platte. natürlich nix gefunden, deshalb spar ich mir auch den log.

ich habe allerdings nach wie vor merkwürdige auslastungen seitens der CPU.
Leerlaufprozess : 90%+
CPU-Auslastung: 60%+

das ist total paradox...allerdings ist die auslastung spürbar in der systemleistung...
graka-treiber hab ich mal neuninstalliert, allerdings ohne effekt.
sogar die maus-treiber hab ich runtergeschmissen, auch das hat nichts gebracht.
mal sehen wie das nach den updates aussieht, allerdings erhoff ich mir dadurch nicht wirklich eine besserung...

naja, alles weitere dann morgen nachmittag.

edit: hab mal nen screen von der auslastung gemacht und angehangen.

edit2: so, die 2. IDE-Platte ist wieder dran und der antivir scan jetzt durchgelaufen, hier der Report:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 9. Februar 2009 15:06

Es wird nach 1326391 Virenstämmen gesucht.

Lizenznehmer: S..... D......
Seriennummer: xxxxxxxxxx-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Meins
Computername: WINDOWSPC

Versionsinformationen:
BUILD.DAT : 8.2.0.374 20012 Bytes 21.11.2008 10:11:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 14:05:55
ANTIVIR2.VDF : 7.1.1.240 1659904 Bytes 07.02.2009 14:06:06
ANTIVIR3.VDF : 7.1.1.246 37376 Bytes 09.02.2009 14:05:21
Engineversion : 8.2.0.76
AEVDF.DLL : 8.1.1.0 106868 Bytes 08.02.2009 14:06:23
AESCRIPT.DLL : 8.1.1.43 344442 Bytes 08.02.2009 14:06:21
AESCN.DLL : 8.1.1.6 127348 Bytes 08.02.2009 14:06:19
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 08.02.2009 14:06:18
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 08.02.2009 14:06:16
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 08.02.2009 14:06:15
AEHELP.DLL : 8.1.2.0 119159 Bytes 08.02.2009 14:06:10
AEGEN.DLL : 8.1.1.14 332148 Bytes 08.02.2009 14:06:09
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 08.02.2009 14:06:08
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Meins\LOKALE~1\Temp\3ee19987.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: G:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 9. Februar 2009 15:06

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'G:\' <Musik und Filme>
G:\Download\@Bios\Setup.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0438e3.qua' verschoben!
G:\Download\@Bios\_ISDel.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e338cb.qua' verschoben!
G:\Download\Installationsdateien\GSBC.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d23906.qua' verschoben!
G:\Download\Installationsdateien\mirc616.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a02391d.qua' verschoben!
G:\Download\Installationsdateien\PCTVStereo_WinXP_SP2_WHQL.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e4390a.qua' verschoben!
G:\Download\Installationsdateien\DivX.Pro.v5.0.4\DivX.Pro.v5.0.4.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a063968.qua' verschoben!
G:\Download\Installationsdateien\DivX.Pro.v5.0.4\DivX.Pro.v5.0.4.Keygen\ecldx504.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fc3963.qua' verschoben!
G:\Download\Installationsdateien\Nero\Nero 63\Nero63_Keygen.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a023971.qua' verschoben!
G:\Download\Installationsdateien\razer treiber\razer_de\Setup.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a04397b.qua' verschoben!
G:\Download\Joe\Joe.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f53985.qua' verschoben!
G:\Download\UT2004Tuning_2.081\UT2004Tuning.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c2396b.qua' verschoben!
G:\Download\UTCacheExtractor160\UTCacheExtractor.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3396b.qua' verschoben!
G:\Eigene Dateien\Anno1701.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fe3986.qua' verschoben!
G:\Eigene Dateien\Gehalt.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f8397f.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\command and conquer generals - CD Key Generator (2).EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fd50f6.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\eyeinst.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f55100.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\Anno_Keks_mit_Anleitung\NFO_Viewer_v2.10.0031.RC3_Setup.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49df50d4.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\crack\CoD2SP_s.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d450fd.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\crack\keygen.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0950f4.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\Die Siedler II - Die nächste Generation (Crack)\Die.Siedler.2.Die.Naechste.Generation.german\CRACK\S2DNG.EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d450c2.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\Die Siedler II - Die nächste Generation (Crack)\Die.Siedler.2.Die.Naechste.Generation.german\CRACK\S2DNGEDI.EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d450c3.qua' verschoben!
G:\Eigene Dateien\Patches+Cracks+Others\NEED.FOR.SPEED.MOST.WANTED.KEYGEN-DEViANCE\dev-mwk.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Renaz.78421
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0650f7.qua' verschoben!
G:\Neuer Ordner\Die Siedler II - Die nächste Generation (Crack)\Die.Siedler.2.Die.Naechste.Generation.german\CRACK\S2DNG.EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d45151.qua' verschoben!
G:\Neuer Ordner\Die Siedler II - Die nächste Generation (Crack)\Die.Siedler.2.Die.Naechste.Generation.german\CRACK\S2DNGEDI.EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d45153.qua' verschoben!
G:\Neuer Ordner\Nero 7 Premium\lshfkjsahdf.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f85195.qua' verschoben!
G:\Neuer Ordner\Nero 7 Premium\setupx.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a045188.qua' verschoben!
G:\Neuer Ordner\Nero 7 Premium\Nero 7 Premium\lkjhalkjer.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fa518e.qua' verschoben!
G:\Neuer Ordner\Nero 7 Premium\Nero 7 Premium\Redist\TTS\Setup.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a04523f.qua' verschoben!
G:\Neuer Ordner\Nintendo\Emu\nestopia.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a035240.qua' verschoben!
G:\Neuer Ordner\Nintendo\GBA\VisualBoyAdvance.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a035245.qua' verschoben!
G:\teeworlds-0.4.1-win32\teeworlds_srv.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f55243.qua' verschoben!
G:\torrents\Siedler3\setup.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a045288.qua' verschoben!


Ende des Suchlaufs: Montag, 9. Februar 2009 16:56
Benötigte Zeit: 1:49:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

364 Verzeichnisse wurden überprüft
31746 Dateien wurden geprüft
32 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
32 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
31714 Dateien ohne Befall
1444 Archive wurden durchsucht
0 Warnungen
32 Hinweise

#22 was ist das laufwerk g?
füre davon blos nichts aus, wenn das extern ist, mach es ab. das sollten wir extra prüfen, da ist ein file infector drauf, der kann .exe dateien infizieren... cracks und so davon brauchen wir net reden

#23 Laufwerk g ist die 2. IDE Platte...hat jetzt einen anderen laufwerksbuchstaben, wegen der neuinstallation.

ich werd nen teufel tun und da was auführen, hab ja gestern gemerkt wozu das führt Oo

ja ich weiß, da dümpeln noch einige alte cracks usw. rum...aber die haben die letzten jahre auch keine proble gemacht.

#24 ich glaub du verstehts nicht ganz... da istein file infector, wenn avira was net entdeckt hat, und du was ausfürst dann könnte es sein, dass all deine files "angesteckt" werden. also prüfen mit
http://support.f-secure.com/ger/home/ols.shtml

#25 ich verstehe durchaus...genau deshalb wurde doch mein komplettes system lahmgelegt, egal was ich benutzen, installieren oder sonstwas wollte, wurde geblockt. aber egal.

hab den scan machen wollen, der ist aber im moment einfach nicht leistbar, da mein prozessor hoffnungslos an der belastungrenze schwebt.
Ich tendiere mal wieder zu einer einer neuinstallation, in der hoffnung, dass dann die auslastungsprobleme aufhören. so kann ich einfach nicht vernünftig mit dem pc arbeiten, wenn ich nur 20-40% der CPU leistung, welche bei einem AMD 64 3000+ ohnehin nicht die welt ist, zur verfügung habe...

#26 dann wirst du wohl die platte formatieren müssen...

#27 meinst du die 2. IDE? weil das steht absolut nicht zur debatte...80gb dateien schick ich mit sicherheit nicht zum teufel!

wenn du von der windows-parition sprichst, geb ich dir durchaus recht..

#28 was ist mit ausfürbaren dateien lösch wenigstens die... ich weis langsam auch net was man hier noch machen soll.
1. windows ist verboten
2. keygens und cracks ich muss hier eigendlich schon lange den suport aufgeben und die schuld an deiner infektion trägst du.
versuche flash disinfector:
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
dafür musst natürlich die festplatte wieder anschließen.

#29 ich habe nie etwas anderes behauptet, als du bei 1. und 2. ansprichst.
allerdings glaube ich nicht, dass ich der einzige bin auf den 1. zutrifft. ich bin wahrscheinlich nur der einzige der es zugibt.

hm, den flash disinfector will antivir blocken Oo

edit: so ich hab mal sämtliche cracks und keygen plattgemacht. und ich glaube auch alle exe dateien die ich finden konnte. werde dennoch mal win neuinstallieren und danach den scan ausprobieren.

#30 lass ihn zu.
ja, und solche leute die immer mit illegalen programmen unterwegs sind und cracks laden und keine ahnung haben ob die virenverseucht sind, sind dann eine gefahr für andre leute, da deren rechner in botnetzen sind, als ftp-server für kinderpornos verwendet werden etc und sag jetzt nicht ich übertreibe. außerdem lassen wir immer windows updates ausfüren und uns logs zeigen an denen sehen wir dann schon ob das win geupdatet wurde. und, du bist nicht der einzige der zugibt das sein windows illegal ist...