Aggressive Viren o.ä. Spyware Protect 2009, drwtsn32.exe

#0
07.02.2009, 15:13
Member

Beiträge: 29
#1 Guten Tag,

ich habe ein äußerst unangenehmes Problem!
eins vorne weg: ich weiß, dass ihr gerne einen hjt log hättet, allerdings kann ich hjt nicht mehr ausführen, und ich hab auch probiert das prog umzubenennen, bringt nix!

auch sämtliche online scans, welche in den gefixten threads aufgeführt sind, funktionieren nicht...

weitere symptome sind: google spinnt, ich muss sämtliche url manuel eingeben, wenn ich auf ein suchergebnis klicke, geht der überall hin, nur nicht dahin wo ich will. Spyware Protect 2009: dieses dubiose program öffnet sich und gaukelt mir wer weiß was für malware/viren/trojaner usw. vor, ich solle mir doch die vollversion kaufen um das zu beheben. wenn ich in msconfig, verwaltung, regedit, benutzerkontenerstellung usw. reinwill, fängt der an 200-300 drwtsn32.exe prozesse zu starten und lahmt so kurzzeitig meinen pc, irgendwann gehen die dann aber wieder alle weg...nur in die oben genannten ausführungen komme ich dennoch nicht...

bisherige gegenmaßnahmen: spybot installed und durchlaufen lassen, nix gefunden...wollte antivir runterladen, aber das scheint das dingen jetzt auch geblockt zu haben...im moment läuft noch Stinger, mal sehen was der dann sagt. Der microschrott IE ist sowieso komplett lahmgelegt...hm, mittlerweile scheint spybot den dienst auch zu versagen...

irgendwie sind mir total die hände gebunden ._.

achja, ich habe bereits 2 mal windows neuinstalliert, das liegt auf einer seperaten partition. auch die Temp partition habe ich platt gemacht und neuerstellt....
Dieser Beitrag wurde am 07.02.2009 um 15:53 Uhr von Aliennod editiert.
Seitenanfang Seitenende
07.02.2009, 15:22
Member

Beiträge: 3716
#2 sorry, bist du sicher das das dein log ist?
http://board.protecus.de/t23188.htm
arbeite mal ab, versuch combofix wenn du es nicht laden kannst sag bescheid.
Seitenanfang Seitenende
07.02.2009, 15:37
Member

Themenstarter

Beiträge: 29
#3 naja, ich bin nach dem scan oben rechts auf virenliste gegangen, deshalb geh ich mal davon aus...

abarbeiten ist schnell erledigt...weil kein link geht -.-
der alternative link für mbam-setup geht zwar, runtergeladen hab ichs auch, aber starten kann ichs nicht ;)

auch stinger und spybot sind nicht mehr ausführbar...

ich lasse grade ccleaner laufen, so btw. weil ich die windows integrierte funktion auch nicht nutzen kann..
Dieser Beitrag wurde am 07.02.2009 um 15:41 Uhr von Aliennod editiert.
Seitenanfang Seitenende
07.02.2009, 15:48
Member

Beiträge: 3716
#4 nein, virenliste ist das falsche ;-) das ist nur die liste der bekannten bedrohungen ;-)
ich werd dir jetzt combofix hochladen es ist umbenannt. füre es aus, poste das log und versuch danach malwarebytes und hijackthis.

Anhang: qjfkldx.exe
Seitenanfang Seitenende
07.02.2009, 15:53
Member

Themenstarter

Beiträge: 29
#5 danke, er führt allerdings nur nen kleinen balken aus, der läuft durch, danach passiert nix mehr, hjt ist nach wie vor nicht ausführbar...

ich such mal malwarebytes. -> gefunden, installiert, läuft aber nicht -.-
Dieser Beitrag wurde am 07.02.2009 um 15:59 Uhr von Aliennod editiert.
Seitenanfang Seitenende
07.02.2009, 16:01
Member

Beiträge: 3716
#6 hallo, das wird wohl nichts nützen.
starte deinen pc neu, gehe in den abgesicherten modus. (beim start des pc's die f8-taste häufig drücken) wähle abgesicherter modus aus melde dich als administrator an, füre combofix aus.
starte dann neu, und poste den inhalt der combofix.txt
Seitenanfang Seitenende
07.02.2009, 16:21
Member

Themenstarter

Beiträge: 29
#7 tja, der abgesicherte modus bringt mir gar nichts...genauso wenig wie den rechner normal zu starten...ich kann den prozess explorer.exe nicht mehr starten, da der angeblich nicht gefunden wird...ich bin langsam echt am ende -_-

ich kann ja nichtmal das wichtigste sichern und dann komplett formatieren -.-

ich werde windows nochmal neuinstallen und so hoffentlich ein wenig zeit gewinnen bis sich der virus wieder ausgebreitet hat...
Seitenanfang Seitenende
07.02.2009, 16:37
Member

Beiträge: 3716
#8 hallo, noch net.
versuche mal RSIT:
http://virus-protect.org/artikel/tools/random.html
bitte beide textdateien posten. eine wird maximiert die andre minimiert geöffnet.
wenn du einen brenner hast, versuche mal die avira restcue cd zu brennen und auszufüren. das log posten. dann noch mal combofix.
http://virus-protect.org/artikel/tools/avirarescue.html
Seitenanfang Seitenende
07.02.2009, 19:06
Member

Themenstarter

Beiträge: 29
#9 du wirst gemerkt haben, dass es bereits zu spät ist ^^

ich konnte wirklich nix mehr machen, ich hab sämtliche .exe immer vorher in kauderwelsch umbenannt und trotzdem war nix mehr ausführbar...ich konnte dann nach einer neuinstallation soweit alles auf meine 2. platte verschieben was ich noch brauchte. danach hab ich dann die 1. platte komplett platt gemacht und die partitionen neu erstellt. neuinstallt, hochgefahren, will einrichten, zack, spackt er wieder rum...ich gehe also davon aus, dass der virus noch auf der 2. platte sich irgendwo verkriecht...also hab ich kurzer hand den rechner runtergefahren, die 2.platte ausgestöpselt und wieder mal alles platt gemacht und neuinstalled...soweit so gut. den rechner jetzt erstmal wieder herzurichten ist die eine sache.

Das eigentliche problem vor dem ich mich jetzt sehe ist die 2. platte wieder in betrieb zu nehmen und den virus auszumerzen ohne, dass es mir wieder das komplette system infiltriert und zerschießt =/

eine idee zur vorgehensweise?!
Seitenanfang Seitenende
07.02.2009, 19:14
Member

Beiträge: 3716
#10 www.jasik.de/tipps/tipp92.htm - 7k -
so erst mal das autoplay abstellen, dannm malwarebytes laden.
nun kannst deine platte anschließen. mit rechtsklick darauf und mit malwarebytes scannen log posten
Seitenanfang Seitenende
08.02.2009, 10:04
Member

Themenstarter

Beiträge: 29
#11 so gestern hatte ich effektiv keinen nerv mehr, heute hab ich mich dem dann mal angenommen:

hier der log von mbam:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1736
Windows 5.1.2600 Service Pack 2

08.02.2009 10:02:32
mbam-log-2009-02-08 (10-02-32).txt

Scan-Methode: Vollständiger Scan (G:\|)
Durchsuchte Objekte: 50259
Laufzeit: 10 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
G:\torrents\Siedler3\readme.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

----------------------------------------------

reboot: will graka treiber aktualisieren, allerdings lässt sich das setup nicht ausführen, blick in den taskmanager: drwtsn32.exe wird wieder ca 300 mal gestartet bis der speicher voll ist und geht dann wieder weg, spyware protect 2009 hat sich wieder gestartet... komplette system wieder infiziert -.- könnte grad echt heulen -_-

ich hab mir gedacht bevor ich jetzt den rechner wieder platt mache (die 2. platte ist in diesem moment schon wieder abgestöpselt, was aber natülich am zustand des system nix mehr ändert..), könnte ich mir mal die ganzen prozesse die sich so im taskmanager öffnen aufschreiben und posten, vllt hilft das ein wenig..ich hab mal alle rausgeschrieben die mir persönlich unbekannt sind oder mir verdächtig vorkommen:

rdl11.tmp (wenn ich den kille schließt Spyware Protect 2009)
DLLML.exe
sysguard.exe (s.o.)
CTSVCCDA.EXE (als ich den gekillt hab öffneten sich 2 17.tmp Prozesse gefolgt von wieder mal 300 drwtsn32.exe Prozessen, allerdings sind alle wieder verschwunden)
danach trat dann wuauclt.exe auf, hab den auch gekillt, jetzt im moment, solange ich nichts mache vermutlich, ist es relativ ruhig.

---------

habe gerade dran gedacht deine vorschläge vor meinem gestrigen systemkill jetzt mal anzuwenden: RSIT läuft zwar augenscheinlich durch, allerdings öffnet sich keine einzige text-datei.

so, nach einigen versuchen des runterladens ist es mir nun endlich geglückt eine rescuecd zu erstellen, werde mal runterfahren, platte anklemmen und mit der cd nen kompletten scan durchführen. bis später..

-------

so, mittlerweile hab ich dann windows zum 6. installiert^^
ehm, die rescuecd konnt ich knicken. das program hats nicht gebacken bekommen meine hardware einzubinden. blieb einfach bei 0% stehen...
ich bin jetzt quasi wieder auf dem stand von heute morgen.
Dieser Beitrag wurde am 08.02.2009 um 12:12 Uhr von Aliennod editiert.
Seitenanfang Seitenende
08.02.2009, 13:28
Member

Beiträge: 3716
#12 ok zeig mir mal ein hijackthis log
Seitenanfang Seitenende
08.02.2009, 13:50
Member

Themenstarter

Beiträge: 29
#13 vom aktuellen system?!
das ist total clean da komplett formatiert und die 2. platte abgestöpselt.. aber bitte, reich ich sofort rein ^^

schwupp, da isses:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:17, on 08.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
E:\Programme\Razer\Diamondback\razerhid.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Creative\MediaSource\Detector\CTDetect.exe
E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Razer\Diamondback\razertra.exe
E:\Programme\Razer\Diamondback\razerofa.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Programme\Winamp\winamp.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTDVDDET] E:\Programme\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] E:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Diamondback] E:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Creative Detector] E:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

--
End of file - 3413 bytes
Seitenanfang Seitenende
08.02.2009, 13:52
Member

Beiträge: 3716
#14 Spiele mal bitte alle windows updates auf.
schalte das autoplay wieer ab. welches antivirenprogramm wird verwendet?
Seitenanfang Seitenende
08.02.2009, 13:55
Member

Themenstarter

Beiträge: 29
#15 alle win updates mit einer inoffiziellen version?!

autoplay ist jetzt aus.

atm gar keins...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: