Hi,
ich glaube ich habe einen Trojaner auf dem PC. Eine gewisse Zeit nach dem Systemstart beginnt der ein von drwtsn.exe ausgelöster Prozess eine CPU-Auslastung von 80 bis 100% hervorzurufen. Erst nach Beendigung dieses Prozesses geht die Auslastung zurück. Weiß jemand, wie ich das los werden kann oder kennt jemand das Problem?

Gruss
Tom

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Hi,
hier ist mein Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:33:35, on 7.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174

Tom

Log schaut sauber aus.

Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Hi,
ich habe mit eScan im abgesicherten Modus gescannt, aber nichts gefunden. Ich habe den PC einem Bekannten vorbeigebracht, der Experte für PCs ist. Er hat auch nichts gefunden und meinte, es wäre kein Trojaner (für ihn klang "drwtsn32.exe" zunächst danach). Für ihn lag das Problem eindeutig an meiner Firewall. Ich hatte mir kurz bevor das Problem auftrat eine Sygate Personal Firewall heruntergeladen. Wenn sie aktiviert ist habe ich die hohe Prozessorauslastung. Wenn ich dann im Taskmanager den Prozess "drwtsn32.exe" beende, beendet sich auch die Firewall und umgekehrt. Starte ich die Firewall neu, so besteht auch das Problem wieder und läuft bekannter Prozess. Mein Bekannter hatte aber selbst schonmal ein ähnliches Problem mit einer Firewall und hat sie darauf deinstalliert. Danach war jedoch nichts mehr zu retten. Deshalb traue ich mich noch nicht sie von meinem PC zu entfernen.
Kennt das jemand oder weiß jemand, ob ich die Firewall gefahrlos deinstallieren kann? Gibt es sonst noch eine Lösung?

Gruss
Tom

Hallo

Ich hatte genau das selbe Problem mit mit exakt demselben prozess und dem zusammenhang mit der Personal Firewall von Sygate . Das problem trat jedoch erst auf als ich das letzte update von Sygate gesaugt habe .
Hab dann meine Firewall gewechselt auf die Free Personal von Zonelabs .
Nachdem ich die Firewall von Sygate komplett entfernt habe ist das Problem nicht wieder aufgetreten

Probier mal diesen wechsel und schreib obs geholfen hat

Zapho

Hi,
das Problem ist nun gelöst. Nachdem ich die Autostart-Funktion der Firewall herausgenommen habe, hat sie natürlich auch das Problem nicht mehr verursacht. Nun habe ich mir "getraut" die Firewall zu deinstallieren. Zum Glück hat das problemlos funktioniert.
Dank an alle die mir geholfen haben, auch wenn die Problemlösung letztendlich doch recht einfach war.

Gruss
Tom