HI LEUTE!! Ich habe mir hier bereits einige Threads durchgelesen und mich daraufhin angemeldet weil ich glaub dass durchaus faehige Leute hier ihr unwesen treiben!
Mein Problem ist dass ich nach einem Angriff dess fiesen SpySheriffs und nach dessen wie ich dachte vollstaendiger Entfernung Probleme weiterhin Probleme mit dem System habe.
Wenn ich hochfahre und Windows gestartet ist oeffnen sich Fehlerfenster, dass aufgrund von DRwtsn64 irgendwelche DLL Files nicht geladen werden koennen oder so, und wenn diese Fehlerfenster alle geschlossen sind, kann ich keine programme oeffnen, wie zB Word, MediaPlayer oder auch einfach nur Editor. (Fehler: irgendwelche DLL's gehen nicht, wie zB version.dll)
Wenn ich hingegen beim starten auf Strg-Alt-Antf klicke und Drwtsn noch bevor die Fehlerfenster kommen schliesse (das muss ich 3x tun, denn so oft stehts in der Logfile drin), laeuft das System fast fehlerfrei
Nun wollte ich fragen: Was hat es denn mit dem DrWatson eigentlich auf sich? Ich habe mittlerweile rausbekommen dass der Dok selber kein Trojaner ist, aber kann ich ihn aus der Logfile entfernen? Waer sehr dankbar fuer den Tip sowie fuer eine kleine Analyse des Files !!!
Viele Gruesse aus ENGLAND
Stefan

ps. hier die Logfile! Jetzt faellt mir auch auf dass vor allem diese kernel32.dll Mistdatei dauernd in den Fehlerfenstern im Bezug mit DrWatson auftaucht..
Hab echt keine Ahnung was ich da machen soll... vielen Dank im Voraus!!!


Logfile of HijackThis v1.99.1
Scan saved at 13:42:49, on 15/04/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\MY DOCUMENTS\CLEARS\HIJACK\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IE6SETUP.EXE
C:\WINDOWS\TEMP\IXP000.TMP\IE6WZD.EXE
C:\WINDOWS\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.gazeta.pl/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN0\YT.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\ADBLOCKING\NISSHEXT.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN0\YT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\ADBLOCKING\NISSHEXT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [drwtsn64] C:\WINDOWS\SYSTEM\drwtsn64.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [drwtsn64] C:\WINDOWS\SYSTEM\drwtsn64.exe
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\SYSTEM\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [CheckSChannel] 1
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINDOWS\SYSTEM\iernonce.dll,RunOnceExProcess
O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
O4 - HKCU\..\Run: [drwtsn64] C:\WINDOWS\SYSTEM\drwtsn64.exe
O4 - HKCU\..\RunServices: [drwtsn64] C:\WINDOWS\SYSTEM\drwtsn64.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\COMMON\YHEXBMESDE.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\COMMON\YHEXBMESDE.DLL
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250ff68a5184cd7b0e22/netzip/RdxIE601.cab
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM\msupdate32.dll

Hallo padre46,

in Deinem System ist neben einigen abder Scgadprogrammen ein Backdoor-Trojaner aktiv.

Hauptgrund ist Dein nicht aktuelles Betriebssystem.

Bei einem Trojaner mit Backdoor-Funktionaltität ist dringend eine Neuinstallation anzuraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

ohh... das hoert sich ja echt hinterhaeltig an...

Woran erkennt man das?...
und muss ich wirklich alles neuformattieren? waer echt ein problem...
Was kann dieses Mistviech anrichten?
ich brauche diesen PC noch sagen wir mal anderthalb Monate.
Kann ich ihn noch solang benutzen und dabei irgendwie auf Nummer sicher gehen?
Ich bin fuer jede Hilfe dankbar!!!!

Zitat:

Woran erkennt man das?...
und muss ich wirklich alles neuformattieren? waer echt ein problem...

Du hast bestimmt Dateien drauf, die hier z.B.
>> C:\WINDOWS\SYSTEM\drwtsn64.exe

Und ja, Du musst die Systempartition (auf der ist Windows drauf) formatieren. Versuch noch irgendwie relevante Daten zu sichern, auf CD/DVD oder eine externe Festplatte.

Zitat:

ich brauche diesen PC noch sagen wir mal anderthalb Monate.
Kann ich ihn noch solang benutzen und dabei irgendwie auf Nummer sicher gehen?

Derartig verseuchte Rechner sollten umgehend vom Netz genommen und flach gemacht werden. Ein kompromittierte PC (auch Zombie genannt) stellt eine Gefahr für andere Internetteilnehmer dar.