Hallo zusammen! Seit gestern Abend habe ich das Problem das wenn ich einen Ordner öffne alles still steht und dann die DRWTSN32.exe beendet wird. Das deutet normalerweise (google wissen) auf einen Trojaner hin.

Habe schon AD Aware, Spybot und Cleanup angewendet, doch das Problem besteht immer noch. Hier mein neues HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:43:51, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\QLink 1.0\devmonit.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\UG\Desktop\Anti Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Programme\QLink 1.0\devmonit.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119971084482
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

jetzt weiß ich nicht weiter ist da noch was negatives bei?

danke schon mal für die Hilfe! gruß -ULI

Servus, UG aus BO!
Lass´ mal die Datei

Zitat:

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

bei Jotti http://virusscan.jotti.org/de/ checken und poste das Ergebnis. Sieht zwar an sich harmlos aus, ist in der Kombination aber suspekt!

Zitat:

ctfmon.exe X ctfmon.exe Added by the RAIDYS TROJAN! Note - this should not be confused with the valid Office XP file, see here

Sonst sieht Dein Log an sich sauber aus...
Also, bis später nach der Virenprüfung
stupormundi

Hallo,
der hat nichts gefunden.... habe es trotzdem mal befixt.... weiß nicht ob es vorher war aber manche Ordner gehen auf.... glaube wenn da eine .avi drin liegt startet DRWTSN32.exe und blockiert alles. Werde noch ein wenig testen... was kann das sein? Gruß -ULI

Servus, UG aus BO!

Zitat:

.... habe es trotzdem mal befixt....

*lol* hoffe es wird nicht süchtig! Scherz beiseite - fixen wenn nicht befallen ist nicht angeraten!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Mode laufen und poste das Ergebnis!
Habe Geduld, bei richtiger Einstellung läuft der Scan 1 Stunde und länger
bis dann, stupormundi

Zitat:

Zitat von stupormundi

Servus, UG aus BO!
Lass´ mal die Datei bei Jotti http://virusscan.jotti.org/de/ checken und poste das Ergebnis. Sieht zwar an sich harmlos aus, ist in der Kombination aber suspekt!
Sonst sieht Dein Log an sich sauber aus...
Also, bis später nach der Virenprüfung
stupormundi

Moin
Nur zur Information
CTFMON.EXE deaktivieren
Plattform: Win 95, Win 98, Win ME, Win NT, Win 2000, Win XP
Anwendung: OfficeXP
Der Prozess CTFMON.EXE bremst vor allem ältere Systeme merklich aus. Bei dem Prozess handelt es sich um einen Bestandteil von Office XP. Die Datei gehört zur "Alternativen Benutzereingabe", welche als "Gemeinsam genutztes Office-Feature" installiert wurde.

Um CTFMon.exe dauerhaft zu entfernen, muss man über die Systemsteuerung -> Software ->Microsoft Office, Feature hinzufügen oder entfernen den Eintrag entfernen, indem man diesen als "nicht verfügbar" markiert.

Die Treiber der Alternativen Benutzereingabe müssen ebenfalls noch entfernt werden. Hierzu geht man in der Systemsteuerung auf
Regions- und Sprachoptionen - Sprachen - Details - und löscht dort alle Treiber außer den normalen Tastaturtreiber.

Zuletzt müssen noch 2 DLLs deinstalliert werden:

Über Start -> Ausführen gibt man:

Regsvr32.exe /u msimtf.dll

und

Regsvr32.exe /u msctf.dll

ein.

Dadurch ist der Wechsel zu alternativen Sprachschemata nicht mehr möglich!

Microsoft Knowledge Base: Q282599
Gruß
Riesurf

@riesurf!
thx for info
Deaktivieren der ctfmon ist nicht meine Absicht gewesen. Wollte nur sichergehen, dass sich hinter diesen speziellen Eintrag nichts Böses versteckt!
Warten wir mal escan ab.
Bis dann stupormundi