![]() |
|
Plagegeister aller Art und deren Bekämpfung: Die Meldung ungültiges Bild und WsysWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Die Meldung ungültiges Bild und Wsys Habe mir erst vor kurtzem einen neuen PC gekauft und alles lief super, bis auf einmal manche Programme nicht mehr funktioniert haben. Programm.exe - Ungültiges Bild ![]() Danach habe ich versucht die Programme wieder neu zu installieren, bei manchen hat es funktioniert und bei manchen wiederrum nicht. Als ich dann mal geschaut habe, ob vielleicht irgendein Programm auf dem PC ist, dass da nicht drauf gehört habe ich ein Programm namens Wsys gefunden und wollte es deinstallieren, das hat auch geklappt nur bin ich mir nicht sicher ob es jetzt wirklich weg ist. Dann habe ich da noch eine eGdpSvc.txt im Pfad C:\ProgramData\eSafe\log gefunden. Als nächstes habe ich mein Antivirusprogramm (Avira) und Anti-Malware durchlaufen lassen, Malware hatt damit 8 Infizierte Objekte gefunden. Mit diesem Ergebnis: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.11.09.08 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16721 Admin :: ADMIN-PC [Administrator] 10.11.2013 09:14:36 MBAM-log-2013-11-10 (09-45-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 342876 Laufzeit: 28 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 3 HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\dosearchesSoftware (PUP.Optional.DoSearches.A) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=hp&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Keine Aktion durchgeführt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\dosearches.xml (PUP.Optional.DoSearches.A) -> Keine Aktion durchgeführt. (Ende) hxxp://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=rg&utm_content=sc&from=vit&uid=TOSHIBAXDT01ACA200_83Q05M6KSXX83Q05M6KSX&ts=1383943275 Und Avira hat auch was gefunden Code:
ATTFilter Typ: Datei Quelle: C:\ProgramData\eSafe\eGdpSvc.exe Status: Infiziert Quarantäne-Objekt: 54e6043c.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows XP/VISTA Workstation/Windows 7 Suchengine: 8.02.12.140 Virendefinitionsdatei: 7.11.112.114 Gefunden: ADWARE/ELEX.W Datum/Uhrzeit: 09.11.2013, 22:58 Code:
ATTFilter Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht Durchsuche Prozess 'AUDIODG.EXE' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'nvxdsync.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '104' Modul(e) wurden durchsucht Durchsuche Prozess 'apnmcp.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'ASGT.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'viakaraokesrv.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '201' Modul(e) wurden durchsucht Durchsuche Prozess 'GPUTweak.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebg7.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'GUI.exe' - '99' Modul(e) wurden durchsucht Durchsuche Prozess 'Monitor.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '133' Modul(e) wurden durchsucht Durchsuche Prozess 'VDeck.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '99' Modul(e) wurden durchsucht Durchsuche Prozess 'TBNotifier.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'nvtray.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'Steam.exe' - '138' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '116' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '133' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '119' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_117.exe' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'FlashPlayerPlugin_11_9_900_117.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '126' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '121' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1426' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Program Files (x86)\Steam\SteamApps\common\Terraria\dotNetFx40_Full_x86_x64.exe [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar [0] Archivtyp: ZIP --> bas.class [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft.jar [0] Archivtyp: ZIP --> bas.class [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraft.jar [0] Archivtyp: ZIP --> bas.class [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden Beginne mit der Desinfektion: C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraft.jar [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Die Datei wurde ignoriert. C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft.jar [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Die Datei wurde ignoriert. C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.GJ [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Sonntag, 10. November 2013 10:31 Benötigte Zeit: 42:37 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 22654 Verzeichnisse wurden überprüft 865798 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 865795 Dateien ohne Befall 4038 Archive wurden durchsucht 7 Warnungen 0 Hinweise 744009 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Code:
ATTFilter Exportierte Ereignisse: 10.11.2013 10:31 [System-Scanner] Malware gefunden Die Datei 'C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\bin\minecraft. jar' enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ignoriert. 10.11.2013 10:31 [System-Scanner] Malware gefunden Die Datei 'C:\Users\Admin\AppData\Roaming\.technic\modpacks\yogpack-extreme\cache\minecraf t.jar' enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ignoriert. 10.11.2013 10:31 [System-Scanner] Malware gefunden Die Datei 'C:\Users\Admin\AppData\Roaming\.technic\cache\minecraft_1.4.7.jar' enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.GJ' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ignoriert. 09.11.2013 22:55 [System-Scanner] Malware gefunden Die Datei 'C:\ProgramData\eSafe\eGdpSvc.exe' enthielt einen Virus oder unerwünschtes Programm 'Adware/ELEX.W' [adware]. Durchgeführte Aktion(en): Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004. Die Quelldatei konnte nicht gefunden werden. Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! Die Datei existiert nicht! |
Themen zu Die Meldung ungültiges Bild und Wsys |
administrator, adware/elex.w, avira, browser, dllhost.exe, do searches, exp/java.hlp.gj, explorer, lsass.exe, malwarebytes, microsoft, monitor.exe, programme, pup.optional.dosearches, pup.optional.dosearches.a, pup.optional.qone8, quelldatei, services.exe, super, svchost.exe, taskhost.exe, ungültiges, ungültiges bild, warnung, winlogon.exe, wsys programm, wuauclt.exe |