| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Die Meldung ungültiges Bild und WsysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.11.2013, 10:45
| #1 |
| |  Die Meldung ungültiges Bild und Wsys Habe mir erst vor kurtzem einen neuen PC gekauft und alles lief super, bis auf einmal manche Programme nicht mehr funktioniert haben. Programm.exe - Ungültiges Bild  Danach habe ich versucht die Programme wieder neu zu installieren, bei manchen hat es funktioniert und bei manchen wiederrum nicht. Als ich dann mal geschaut habe, ob vielleicht irgendein Programm auf dem PC ist, dass da nicht drauf gehört habe ich ein Programm namens Wsys gefunden und wollte es deinstallieren, das hat auch geklappt nur bin ich mir nicht sicher ob es jetzt wirklich weg ist. Dann habe ich da noch eine eGdpSvc.txt im Pfad C:\ProgramData\eSafe\log gefunden. Als nächstes habe ich mein Antivirusprogramm (Avira) und Anti-Malware durchlaufen lassen, Malware hatt damit 8 Infizierte Objekte gefunden. Mit diesem Ergebnis: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.11.09.08 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16721 Admin :: ADMIN-PC [Administrator] 10.11.2013 09:14:36 MBAM-log-2013-11-10 (09-45-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 342876 Laufzeit: 28 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 3 HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\dosearchesSoftware (PUP.Optional.DoSearches.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Keine Aktion durchgeführt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\dosearches.xml (PUP.Optional.DoSearches.A) -> Keine Aktion durchgeführt. (Ende) hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=sc&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275 Und Avira hat auch was gefunden Code:
ATTFilter
Typ: Datei
Quelle: C:\ProgramData\eSafe\eGdpSvc.exe
Status: Infiziert
Quarantäne-Objekt: 54e6043c.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.12.140
Virendefinitionsdatei: 7.11.112.114
Gefunden: ADWARE/ELEX.W
Datum/Uhrzeit: 09.11.2013, 22:58
Code:
ATTFilter Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASGT.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'viakaraokesrv.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '201' Modul(e) wurden durchsucht
Durchsuche Prozess 'GPUTweak.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'GUI.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_117.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_117.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1426' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Program Files (x86)\Steam\SteamApps\common\Terraria\dotNetFx40_Full_x86_x64.exe
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar
[0] Archivtyp: ZIP
--> bas.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft.jar
[0] Archivtyp: ZIP
--> bas.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraft.jar
[0] Archivtyp: ZIP
--> bas.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
Beginne mit der Desinfektion:
C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraft.jar
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft.jar
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Die Datei wurde ignoriert.
C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ
[WARNUNG] Die Datei wurde ignoriert.
Ende des Suchlaufs: Sonntag, 10. November 2013 10:31
Benötigte Zeit: 42:37 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
22654 Verzeichnisse wurden überprüft
865798 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
865795 Dateien ohne Befall
4038 Archive wurden durchsucht
7 Warnungen
0 Hinweise
744009 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Exportierte Ereignisse:
10.11.2013 10:31 [System-Scanner] Malware gefunden
Die Datei
'C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft.
jar'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.
10.11.2013 10:31 [System-Scanner] Malware gefunden
Die Datei
'C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraf
t.jar'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.
10.11.2013 10:31 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.
09.11.2013 22:55 [System-Scanner] Malware gefunden
Die Datei 'C:\ProgramData\eSafe\eGdpSvc.exe'
enthielt einen Virus oder unerwünschtes Programm 'Adware/ELEX.W' [adware].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!
|
| Themen zu Die Meldung ungültiges Bild und Wsys |
| administrator, adware/elex.w, avira, browser, dllhost.exe, do searches, exp/java.hlp.gj, explorer, lsass.exe, malwarebytes, microsoft, monitor.exe, programme, pup.optional.dosearches, pup.optional.dosearches.a, pup.optional.qone8, quelldatei, services.exe, super, svchost.exe, taskhost.exe, ungültiges, ungültiges bild, warnung, winlogon.exe, wsys programm, wuauclt.exe |
Baum-Darstellung