Bitte um Hilfe: drwtsn32.exe lastet Prozessor aus

[Tom H]

Hallo,
ich habe ein Problem mit meinem PC. Der Prozessor bewegt sich seit drei Tagen bei einer Auslastung von 80-100%. Zumindest wenn der "Prozess" drwtsn32.exe am laufen ist - und das ist ab dem Systemstart der Fall. Wenn ich diesen beende, ist allerdings alles wieder im Normalzustand. Kann das noch weitere Probleme verursachen und vor allem, kann ich etwas dagegen tun?

Hier mein HijackThis-Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 19:47:27, on 3.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [SIM] "C:\Programme\SIM\sim.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174


In Hoffnung auf Hilfe
Tom

[chris_davidi]

Ich kenne mich mit den LogFiles nicht aus, aber drwtsn32.exe hört sich nach dem Programm Dr. Watson von Microsoft an.

Eventuell Problemlösungen:

- schaue mal in Deinen Autostartordner. Was ist da drin? Eventuell ein Verweis zu drwtsn32.exe? - wenn ja, löschen!
- gehe mal auf "Start" -> "Ausführen" und gebe dort "msconfig" ein. Dort kannst Du auch den Systemstart, bzw. Autostart anpassen

[Jinxy]

Hi,

du hast dir einen Trojaner eingefangen.



Stoppe mit dem Taskmanager die Prozesse:

systemroot+\system32\323h.exe
systemroot+\system32\apiuit.exe
systemroot+\system32\dbccu32o.exe
systemroot+\system32\mvcorew.exe
systemroot+\system32\olstorep.exe
systemroot+\system32\pg2spltm.exe
systemroot+\system32\sim.exe
systemroot+\system32\sycfilta.exe
systemroot+\system32\tdsapin.exe
systemroot+\system32\uartzq.exe

Lösche in der Registry den Wert, falls vorhanden:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\323h, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\apiuit, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\dbccu32o, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\mvcorew, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\olstorep, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\pg2spltm, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\sim, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\sycfilta, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\tdsapin, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\uartzq, delete it and reboot the machine immediately.

Säubere die Registry:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\323h
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\apiuit
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\dbccu32o
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\mvcorew
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\olstorep
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\pg2spltm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\sim
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\sycfilta
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\tdsapin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\uartzq

Lösche die Dateien im Explorer falls vorhanden:

systemroot+\system32\323h.exe
systemroot+\system32\apiuit.exe
systemroot+\system32\dbccu32o.exe
systemroot+\system32\mvcorew.exe
systemroot+\system32\olstorep.exe
systemroot+\system32\pg2spltm.exe
systemroot+\system32\sim.exe
systemroot+\system32\sycfilta.exe
systemroot+\system32\tdsapin.exe
systemroot+\system32\uartzq.exe

Dann poste noch einmal das Logfile, aber hole dir die neuere Version von HijackThis.

Gruß Jinxy

[Tom H]

Hi,
erstmal danke für die Hilfe-Versuche. Wirklich gebracht hat es aber noch nichts. Es waren weder die beschriebenen Prozesse am laufen, noch habe ich in der Regstry oder im Explorer genannte Dateien gefunden. Das heißt das Problem besteht weiterhin. Habe mir aber die neuere HijackThis-Version geholt. Hier der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 14:20:52, on 6.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\PowerStrip\pstrip.exe
C:\Dokumente und Einstellungen\Tom\Eigene Dateien\Toca 2 Ordner\fraps.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174

Hoffe jemand weiß noch was.
Tom

[Jinxy]

Hi Tom H,

offensichtlich hast du dein erstes Logfile im nachhinein verändert. Du wirst schon einen Grund dafür haben.
Hier noch ein paar Erklärungen für eine hohe Prozessorauslastung:

http://www.windows-tweaks.info/html/cpu-auslastung.html

Gruß Jinxy

[Tom H]

Hi,
wie ist das denn gemeint und was soll das heißen?

offensichtlich hast du dein erstes Logfile im nachhinein verändert. Du wirst schon einen Grund dafür haben.

Wie und wieso sollte ich das Logfile verändern?

Tom

[bumpo]

Hallo Tom H

Dein Log ist total Clean.


Gruss bumpo

[Jinxy]

Hi Tom H,

dein Logfile hatte ich gespeichert und deswegen sehe ich, dass du die Zeilen mit der sim.exe rausgelöscht hast. Fair ist das natürlich nicht, was du da machst.

Gruß Jinxy

[Tom H]

Hallo Jinxy,
irgendwie interpretierts du da was falsch. Ich habe die Zeile mit sim.exe doch nicht aus dem Logfile gelöscht. Ich habe nur das Programm S(imple) I(nstant) M(essenger) deinstalliert, da ich es für möglich hielt, dass der Trojaner daher stammt, da ich mir SIM kurz bevor der Trojaner da war heruntergeladen habe und da du meintest ich solle den Prozess sim.exe beenden usw.

Tom

[Tom H]

Hi,
ich habe den PC einem Bekannten vorbeigebracht, der Experte für PCs ist. Er hat auch nichts gefunden und meinte, es wäre kein Trojaner (für ihn klang "drwtsn32.exe" zunächst danach). Für ihn lag das Problem eindeutig an meiner Firewall. Ich hatte mir kurz bevor das Problem auftrat eine Sygate Personal Firewall heruntergeladen. Wenn sie aktiviert ist habe ich die hohe Prozessorauslastung. Wenn ich dann im Taskmanager den Prozess "drwtsn32.exe" beende, beendet sich auch die Firewall und umgekehrt. Starte ich die Firewall neu, so besteht auch das Problem wieder und läuft bekannter Prozess. Mein Bekannter hatte aber selbst schonmal ein ähnliches Problem mit einer Firewall und hat sie darauf deinstalliert. Danach war jedoch nichts mehr zu retten. Deshalb traue ich mich noch nicht sie von meinem PC zu entfernen.
Kennt das jemand oder weiß jemand, ob ich die Firewall gefahrlos deinstallieren kann? Gibt es sonst noch eine Lösung?

Gruss
Tom

[Krefeld12]

also ich hatte das problem heute mittag oder war das gestern,oh man kein plan mehr,bin voll fertig weil ich krank war*
also gehst auf

ARBEITSPPLATZ
DEINE FESTPLATTE__BEI MIR LOKALER DATENTRÄGER* C*
DANN AUF WINDOWS
DANN UNTER SYSTEM 32
SUCHST NACH DEM ___DRWTSM32.EXE*
UND LÖSCHST ALLES WAS DAMIT ZU TUN HAT*
BEIM MIR HATS GEHOLFEN,HABE NIX MEHR,HABE AUCH VIRENSCAN LAUFEN LASSEN,ALLES GEHT WIEDER*

MFG HAYDAR

[Nikita]

Hallo@Tom H

"Prozess" drwtsn32.exe
Description of the Dr. Watson for Windows (Drwtsn32.exe) Tool
http://support.microsoft.com/default.as ... -US;308538

Mache also folgendes:

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten