Problem mit drwatson

cuedog · 02.02.2005, 18:50

Hallo.

Habe ein Riesenproblem mit drwatson

Jedesmal wenn ich eine Ordner öffne zeigt mir mein Mauszeiger kurz eine Hintergrundaktivität an und der Ordner hängt sich auf. Wenn ich dann den Prozessmanager öffne und mir die aktiven Prozesse ansehe steht dadrwatson mit drin. Beende ich dann drwatson wird der Explorer neu geladen und der geöffnete Ordner ist dann auch geschlossen.

Habe auch schon Vierenscanner, Spybot,Adaware usw laufen lassen, ist aber alles in bester Ordnung.

Kann vielleicht jemand helfen?

Rene-gad · 02.02.2005, 19:47

@cuedog

Zitat:

Habe ein Riesenproblem mit drwatson

Er erstellt nur Post-Mortem Abbild. Die Ursache deins Problems musst du irgendwoanders suchen. Arbeite den Thread bitte durch: http://www.trojaner-board.com/showthread.php?t=6144

cuedog · 02.02.2005, 20:01

Danke für die Antwort.

Habe ihn online auswerten lassen. nichts bedrohliches festgestellt.

Logfile of HijackThis v1.99.0
Scan saved at 19:59:39, on 02.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
D:\Programme\eMule.de\eMule.de\emule.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\user\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096299007208
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F1E2E98-959F-4313-B7C3-82DDDCA3AAD3}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{1F1E2E98-959F-4313-B7C3-82DDDCA3AAD3}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Cidre · 02.02.2005, 20:07

Hallo,

dein Log-File ist bis auf diesen Eintrag

Zitat:

O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE

sauber. Der Name wird von verschiedener Malware verwendet, darum solltest du auch im abgesicherten Modus wie beschrieben mit eScan AntiVirus scannen.

Deaktiviere mal Dr.Watson und beobachte dein System, ob dieser Fehler nochmals in Erscheinung tritt.

Rene-gad · 02.02.2005, 20:12

Zitat:

Zitat von Cidre

dein Log-File ist sauber.

genau das würde ich nicht eindeutig behaupten.

Zitat:

O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE

http://uk.trendmicro-europe.com/ente...BOT.LL&VSect=T

Cidre · 02.02.2005, 20:13

@ Rene-Gad

Ist mir im Nachhinein auch aufgefallen, aber trotzdem merci für's gegenchecken.

cuedog · 02.02.2005, 20:21

O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE

Wird in der online Auswertung auch als Böse angezeigt. Habe ihn gefixt.

drwtson ist auch deaktiviert, und bis jetzt läuft alles wunderbar.

Werde mal weiter beobachten.

Danke ertsmal für eure Hilfe das Problem war echt nervig.

Cidre · 02.02.2005, 20:24

Damit ist es noch nicht ausgestanden, mach zur deiner eigenen Sicherheit das, WAS man dir empfiehlt!

Im schlimmsten Fall war oder ist immer noch ein Wurm mit Backdoor Funktionalität auf deinem System aktiv.

cuedog · 02.02.2005, 20:42

Und was soll ich noch tun?

chaosman · 02.02.2005, 20:44

@cuedog
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

cuedog · 03.02.2005, 06:48

Wed Feb 02 21:08:58 2005 => ***** Scanning complete. *****

Wed Feb 02 21:08:58 2005 => Total Files Scanned: 19433
Wed Feb 02 21:08:58 2005 => Total Virus(es) Found: 2
Wed Feb 02 21:08:58 2005 => Total Disinfected Files: 0
Wed Feb 02 21:08:58 2005 => Total Files Renamed: 0
Wed Feb 02 21:08:58 2005 => Total Deleted Files: 0
Wed Feb 02 21:08:58 2005 => Total Errors: 4
Wed Feb 02 21:08:58 2005 => Time Elapsed: 00:17:35
Wed Feb 02 21:08:58 2005 => Virus Database Date: 2005/01/28
Wed Feb 02 21:08:58 2005 => Virus Database Count: 117012

Wed Feb 02 21:08:58 2005 => Scan Completed.

Die zwei Sachen stehen in dem unteren Fenster von escan...

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\DOKUME~1\user\LOKALE~1\Temp\GL_29.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Rene-gad · 03.02.2005, 06:52

@Cidre

Zitat:

... merci für's gegenchecken.

Zu Euren Diensten

.

cuedog · 03.02.2005, 18:33

Kann ich die zwei Dateien einfach Löschen oder muss ich einen speziellen Weg gehen um sie zu entfernen?

Rene-gad · 03.02.2005, 18:56

@cuedog

Zitat:

Kann ich die zwei Dateien einfach Löschen oder muss ich einen speziellen Weg gehen um sie zu entfernen?

Du musst mindestens versuchen, die Dateien zu löschen. Wenn du es nicht packst, dann schauen wir mal.

cuedog · 03.02.2005, 19:17

So sind gelöscht.

Wars das jetzt oder mussich noch etwas tun?

Warum erkennt mein Northon die Dateien eigentlich nicht als bedrohlich?

02.02.2005, 20:13	#6
Cidre Administrator, a.D.	Problem mit drwatson @ Rene-Gad Ist mir im Nachhinein auch aufgefallen, aber trotzdem merci für's gegenchecken. __________________ --> Problem mit drwatson

02.02.2005, 20:24	#8
Cidre Administrator, a.D.	Problem mit drwatson Damit ist es noch nicht ausgestanden, mach zur deiner eigenen Sicherheit das, WAS man dir empfiehlt! Im schlimmsten Fall war oder ist immer noch ein Wurm mit Backdoor Funktionalität auf deinem System aktiv. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Problem mit drwatson

Plagegeister aller Art und deren Bekämpfung: Problem mit drwatson