PC-Experience | Druckvorschau: Internetabsturz, drwtsn32.exe, TONCHKML.exe

Geschrieben von Clooney am 15.10.2006 um 00:52:

Internetabsturz, drwtsn32.exe, TONCHKML.exe

Hallo liebe Leute,

seit gestern besteht das Phänomen, dass ich regelmäßig aus dem Netz fliege. T-Online meldet mir einen Netzwerkfehler. Ich prüfe, die Eistellungen sind alle so, wie sie waren und wie es sein soll. Interessanterweise bleibt nach dem Rausschmiss das "connected-Icon" (also die beiden Verbindungsmonitore) in der Taskleiste und abmelden kann ich mich auch nicht. Eine Neuanmeldung im Netz ist nur nach einem Neustart möglich.

Eine kurze Chronologie der Geschichte:

1. Ich hatte kurzfristig ActiveX aktiviert und wieder deaktiviert.

2. Bei der folgenden Netzanmeldung fragt mich Kaspersky, ob ich einen UDP-Port_Zugriff erlauben will. Kannte ich nicht, also wollte ich nicht. Dann zwei Stunden normales surfen.

3. Das PROBLEM taucht auf. Der erste Rausschmiss. Keine Neuanmeldung ohne Neustart möglich.

4. Boot, Einwahl, surfen etwa 15 Minuten, Rausschmiss. Kaspersky meldet Zugriff von drwtsn32.exe. Auch die nächsten 5 Versuche. Ich blockiere, ich lasse zu, ich überspringe. Das Problem bleibt.

5. Ich will die T-online-Software aktuallisieren. Sie meldet: Alles aktuell. Ich lösche bei Kaspersky die Ausnahmeregeln für T-Online.

6. Bei der Neueinwahl fragt Kaspersky das gesamte T-Online-Paket ab. Ich lasse diesmal alles zu (T-Online-Start-Center, Update-Funktion etc.).
Plötzlich wird mir ein Upgrade angeboten. Ich lehne ab, weil ich mir nicht noch unnötigen Kram draufpacken will.

7. Kaspersky meldet wieder "Angriff" von drwtsn32.exe, dann Rausschmiss. Die Datei scheint das XP-integrierte Dr. Watson zu sein, das Systemveränderungen meldet. Im dazugehörigen Logfile allerdings nichts Aktuelles verzeichnet (Ist das standartmäßig aktiviert? Hat da ein Trojaner übernommen?)

8. Ich starte im abgesicherten Modus und scanne mit den AKTUELLSTEN Versionen von Kaspersky, Spybot, Ad-Aware, McAffee Stinger. Keine Meldung. Ich checke das Hijackthis-Logfile - nichts.

9. Ich starte neu und gehe ins Netz. Kaspersky meldet jetzt einen Zugriff von TONCHKML32.exe. Ich verbiete 2x. Danach google ich diese Datei, finde aber nichts Zufriedenstellendes.

.... und nun schreibe ich das hier und bin seit 55 Minuten im Netz. Noch läuft es, vielleicht hat sich das Problem erledigt. Bin aber trotzdem etwas angespannt nenedu

Um es nochmals deutlich zu sagen: das Problem entstand, ohne eine Änderung am bisher stabilen System, bis auf ein paar Minuten mit aktiviertem ActiveX. Hab ich mir darüber was eingefangen? Kommt T-Online mit Kaspersky nicht klar? Was ist mit diesem ominösen drwtsn32 (was jetzt nicht mehr auftaucht)?
Kennt jemand ein ähnliches Problem, kann jemand weiterhelfen ??

Ein ratloser Clooney.........

Geschrieben von wolfie am 15.10.2006 um 01:00:

Hallo Clooney

was geschieht, wenn du Dr.Watson mal deaktivierst ?

gruss wolfie

Geschrieben von Clooney am 15.10.2006 um 01:09:

Erstmal viiieeelen Dank für die schnelle Antwort, vor allem zu dieser späten Stunde. Auf PC-Experience-Mitglieder kann man eben bauen.... oki

Ich habe den Tipp des Deaktivierens schon irgendwo gefunden, mich aber nicht getraut. Wenn das offensichtlich relativ gefahrlos vonstatten gehen kann, werde ich das jetzt mal erledigen.

Dennoch: Wie in meiner etwas holprigen Beschreibung erwähnt, meldet mir nach meinem ausführlichen Scan Kaspersky diesen "Invader" (?) nicht mehr, sondern fragte diese TONCHKML.exe ab, die ich blockiert habe. Nun bin ich schon seit 65 Minuten störungsfrei im Netz verwirrt

Ich versteh das alles nicht......

Jetzt geh ich erst mal Dr. Watson deaktivieren ;-)

Geschrieben von Peschel am 15.10.2006 um 01:18:

TONCHKML.exe gehört zur T-Offline Software Augenzwinkern

und wenn du die blockst, wirds schwierig mit dem Internet

warum verwendest du die überhaupt, die Software ist ein Quell stetigen Ärgers, jedenfalls ist das meine Erfahrung

nutz doch einfach RASPPPOE

Geschrieben von Clooney am 15.10.2006 um 01:33:

Wegen des "TO" bin ich davon ausgegangen, dass sie zur T-Online-Software gehört. Aber bei der Verifizierung stand noch irgendwas von "hans Bauer FUN Cooperation" oder ähnlich. Das war mir suspekt. Und seitdem ich das Dind blockiert habe, läuft es wie geschmiert (seit 90 Minuten!!!) fröhlich

Und du hast recht: Über RASPPPOE habe ich schon nachgedacht.

hast du aufgrund meiner beschreibung denn den Eindruck, dass das Problem durch T-Online entsteht???

Geschrieben von Peschel am 15.10.2006 um 02:47:

Zitat:

hast du aufgrund meiner beschreibung denn den Eindruck, dass das Problem durch T-Online entsteht???

nicht unbedingt

aber die Software ist very buggy Augenzwinkern

lösch auch mal deine temporären Dateien, am besten mit dem CCleaner: klick

stelle das Programm folgendermaßen ein:

1. unter Anwendungen läßt du alles so, wie es ist

2. unter Windows hakst du alles an, bis auf erweitert, dort nichts anhaken!

3. klick auf analysieren und lösch dann alles, was gefunden wird

dann check auch noch mal sicherheitshalber deinen Autostart: klick

Geschrieben von Clooney am 15.10.2006 um 15:54:

Hallo zusammen,

ich habe den CCleaner nach Peschels Vorgaben drüberlaufen lassen. Alle Einträge gelöscht.

Dann "cmd" ausgeführt und nach versteckten Autostarteinträgen gesucht. Neben Kaspersky und Quicktime (beide bekannt und ok) noch einen Eintrag gefunden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

Dann Sophos Anti-Rootkit scannen lassen - Nichts gefunden.

Dafür bekomme ich jetzt eine neue Meldung bevor ich aus dem Netz geschmissen werde:
svchost.exe - Fehler in Anwendung
Die Ausnahme "Unbekannter Softwarefehler" (oxc0000409) ist an der Stelle =x597da3c0 aufgetreten.
Übrigens: Direkt vor der Meldung "klickt" es im Rechner????? Schreibt das was? Liest das was?

Immer noch ratlos

Clooney

Geschrieben von Peschel am 15.10.2006 um 17:10:

OptionalComponents ist ok

aber du solltest mal die T-Online Software restlos deinstallieren und RASPPPOE drauf tun, damit wir diesen Quell von Fehlern ausklammern können

dann sehen wir weiter

Geschrieben von Kaplan am 15.10.2006 um 17:16:

Hi Clooney,

solltest Du die Kaspersky-Internetsecurity in der aktuellen Version 6.0.303 installiert haben, wähle unter Einstellungen "Antihacker" die Schaltfläche Einstellungen.
Unter dem Reiter "Regeln für Anwendungen" wählst Du "svchost.exe" aus und die Schaltfläche "Andern".
In den folgend aufpoppenden Anwendungsregeln löschst Du alle Regeln mit folgendem Wortlaut:
"Jede TCP (oder UDP)-Aktivität mit dieser Anwendung erlauben ( oder verbieten)"
Die Regeln müssen bei Anwendungsaktivität "svchost.exe" neu definiert und erlaubt werden.
Eventuell bringt uns dieser Schritt weiter... Augenzwinkern

Gruß
Kaplan

Geschrieben von Clooney am 19.10.2006 um 13:07:

Hi zusammen,

@Peschel: Sicherlich ein vernünftiger Vorschlag. Zur Zeit lass ich das aber erst mal, weil ich vermeiden will, bei so einer Aktion weitere Störungsquellen einzubauen. Habe zunächst die T-Online-Software neu installiert. Hat aber nichts gebracht.

@Kaplan: Habe deine Anweisungen befolgt. Mit "löschen" meinst du bestimmt, die entsprechenden Kästchen zu deaktivieren. Nachdem ich das getan habe, konnte ich auf keine Seite zu greifen. Jetzt habe ich sie wieder aktiviert und bekomme relativ schnell (nach etwas 3 Minuten) die in meinem letzten Posting beschriebene Fehlermeldung. Gestern dauerte es nach einem Neustart etwas 3 Stunden bis sie auftauchte. Was hab ich falsch gemacht? Und ist es richtig, dass bei den "Regeln für Anwendungen" der Eintrag "svchost.exe" zweimal auftaucht??

Übrigens: Wenn ich das Fenster mit der Fehlermeldung nicht schließe oder bestätige, sondern einfach nur an den Bildschirmrand ziehe, bleibe ich im Netz. verwirrt

Grüße vom Clooney

Nachtrag: Mein später Response liegt übrigens nicht an meinem Desinteresse, sondern vielmehr daran, dass ich 2 Tage nicht auf diese Seite zugreifen konnte. War hier etwas nicht ok oder passt das zu meinem Problem?