Hi habe heute gerade mein neuen Rechner laufen u Xp und alle Treiber neu installiert. Habe auch eine neue Nvidia Graka. Unter Msconfig sah ich das da winSys2.exe läuft, diese exe liegt unter windows/system32/ und wenn man auf die exe datei geht eigenschaften-version und dann Name usw.. dann steht da was von TODO, es ist auch noch eine WinSys.exe im system32 Ordner.
Habe ein kompletten Virenscan gemacht und auch Adaware durchlaufen lassen, beide nix gefunden.

Hier mein Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:25:16, on 21.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{35E5647A-20B9-4DA0-BDF6-05AFDB514526}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{35E5647A-20B9-4DA0-BDF6-05AFDB514526}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Die HijackThis auswertung sagte mir zu der WinSys2.exe (unbekannter Prozess).

Ist das Malware oder sowas?? konnte in google nicht allzuviel darüber finden. Sollte ich den fixen oder gehört der vielleicht zu meiner MSI Nvidia Grafikarte?? hab das hier gelesen wollte aber noch mal sicherheitshalber fragen ....

Sagt mal warum ist mein Hijack log eigentlich immer so kurz?? bei anderen Leuten ist der Ellenlang, habe ich da was vergessen anzuklicken in Hijackthis??

Danke
Gruß Lana :-)

Hallo Lana,

laß` bitte diese Datei bei VirusTotal überprüfen, und poste das Ergebnis!

C:\WINDOWS\system32\winsys2.exe


Link zu VirusTotal:

VIRUSTOTAL - Free Online Virus and Malware Scan

Gehe oben rechts auf den "Auswählen"-Button, dort die von mir kursiv gekennzeichnete Datei hochladen und prüfen lassen. Das kann u. U. ein wenig dauern. Wenn der Scan beendet ist, öffnet sich ein Fenster, und die Ergebnisse werden Dir angezeigt. Du bekommst auch den Hinweis "finished".

Bitte außer dem Scanergebnis auch die Größe der Datei posten, sie steht unter dem Scan.

Gruß

Hallo,
diese beiden auch gleich checken,mir ist so als war da mal was damit...

Zitat:

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

Irrlicht

Hab hier endlich mal ein aussagekräftigen Link mit gutem Beitrag zu dieser dubiosen Winsys.exe und WinSys2.exe gefunden:

Das Winsysproblem....Ist die Winsys.exe ein Trojaner oder nur ein ebenso harmloses wie überflüssiges Tool?

Was ich so bei google gefunden habe zu den sw20 und sw24 sie gehörten zu den MSI Treibern der Grafikarte.
Virus total Ergebnis:

Complete scanning result of "winsys2.exe", received in VirusTotal at 02.24.2007, 14:02:19 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.38 02.23.2007 no virus found
Authentium 4.93.8 02.23.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.23.2007 no virus found
BitDefender 7.2 02.24.2007 no virus found
CAT-QuickHeal 9.00 02.23.2007 no virus found
ClamAV devel-20060426 02.24.2007 no virus found
DrWeb 4.33 02.24.2007 no virus found
eSafe 7.0.14.0 02.23.2007 no virus found
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.24.2007 no virus found
FileAdvisor 1 02.24.2007 no virus found
Fortinet 2.85.0.0 02.24.2007 no virus found
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.24.2007 no virus found
Ikarus T3.1.0.31 02.24.2007 no virus found
Kaspersky 4.0.2.24 02.24.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.24.2007 no virus found
NOD32v2 2078 02.23.2007 no virus found
Norman 5.80.02 02.23.2007 no virus found
Panda 9.0.0.4 02.23.2007 no virus found
Prevx1 V2 02.24.2007 no virus found
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.24.2007 no virus found
TheHacker 6.1.6.063 02.23.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.23.2007 no virus found
VirusBuster 4.3.19:9 02.23.2007 no virus found

Aditional Information
File size: 217088 bytes
MD5: 246ed5328f940e4fdaab0b2fc987da01
SHA1: d5e2592cf25b48efb1225e37c45bce99a13466c8

Zu der WinSys.exe
Aditional Information
File size: 200704 bytes
MD5: 78d5d037ed4386d178e2fb836322711b
SHA1: a5092a961b713373b8288d74d5791ac6fcceef15

War auch kein Virus zu finden.

Aber dann hier!!:

Complete scanning result of "sw24.exe", received in VirusTotal at 02.24.2007, 14:23:12 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.23.2007 no virus found
Authentium 4.93.8 02.23.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.23.2007 no virus found
BitDefender 7.2 02.24.2007 no virus found
CAT-QuickHeal 9.00 02.23.2007 no virus found
ClamAV devel-20060426 02.24.2007 no virus found
DrWeb 4.33 02.24.2007 no virus found
eSafe 7.0.14.0 02.23.2007 no virus found
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.24.2007 no virus found
FileAdvisor 1 02.24.2007 no virus found
Fortinet 2.85.0.0 02.24.2007 no virus found
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.24.2007 no virus found
Ikarus T3.1.0.31 02.24.2007 no virus found
Kaspersky 4.0.2.24 02.24.2007 no virus found
McAfee 4970 02.23.2007 no virus found
Microsoft 1.2204 02.24.2007 no virus found
NOD32v2 2078 02.23.2007 no virus found
Norman 5.80.02 02.23.2007 no virus found
Panda 9.0.0.4 02.24.2007 no virus found
Prevx1 V2 02.24.2007 Covert.Sys.Exec (siehe hier) soll ein trojaner sein)
Sophos 4.14.0 02.24.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.24.2007 no virus found
TheHacker 6.1.6.063 02.23.2007 no virus found
UNA 1.83 02.23.2007 no virus found
VBA32 3.11.2 02.23.2007 no virus found
VirusBuster 4.3.19:9 02.23.2007 no virus found

Aditional Information
File size: 69632 bytes
MD5: a6309d3ff5c253738b14e4abf0930ec4
SHA1: 06f29b3e8cc4375c097ce76be09a07dad4625f2b
Prevx info: SW24.EXE Spyware Remove


sw20.exe hat er kein virus gefunden.

Oh je was mach ich denn jetzt?? und warum finden nur 1 von den ganzen Virenscannern diesen Virus oder Trojaner?


Lg Lana

Hallo, antwortet mir keiner dazu??

Hab übers WoEnde jetzt mein ganzes Windows xp platt gemacht. Dann alles neu installiert und nach dem Installieren der Grafikartentreiber waren diese Dateien wieder da.

Siehe auch dazu mein Link im letzteren Posting von mir, könnte ja auch zu Msi Grafikarte gehören.

Wenn ich jetzt mit dem ganz frischen System ein HijackThis Log auswerten lasse dann findet er 2 Einträge die er als unsicher bezeichnet:

Beim auswerten waren diese beiden Meldungen als unsicher da:

C:\WINDOWS\system32\winsys2.exe (Dies ist ein unbekannter Prozess)

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe (Unbedingt fixen!Rootkit DialCall)

Sagt mir sogar es wäre ein Rootkit, zu diesen Rootikit ließ nicht leider nix finden in Google.

Hat denn keiner von Euch auch eine Msi Grafikarte und auch diese Dateien???

im Windows/system32/ Winsys2.exe unter Eigenschaften - version-
-originalname: sw25-rev01.exe
-Produktname: TODO: <Product name>
-Version: 1.0.0.1

Bitte Leute schaut doch mal nach, die die auch eine MSI Grafikarte haben, ich habe eine Nvidia Geforce NX 7100 GS

Ich werde eh mal versuchen obs auf der MSI Seite irgendwie ein Deutschen Support gibt, ich habe keine Lust mein System jede Woche platt zu machen weil HijackThis oder sonstwas mir sagt ich hätte ein Rootkit und nachher ist das gar nicht so .

Gruß Lana

Hallo,
guggst du mal hier :The Gromozon Rootkit - Detection and Removal - CastleCopsWiki

Habe ich gefunden ,als ich mit

Zitat:

Rootkit DialCall

googeln war...
Irrlicht

Zitat:

Zitat von irrlicht

guggst du mal hier

Hab ich:
Query Product
Todo - Wikipedia
Also erstmals langsam mit Rootkits .

Habe jetzt erst mal bei MSI mein Anliegen geschildert per Email an den support, mal sehen was die sagen.

Habe auch noch mal neugierdehalber in Gerätemanager- Grafikarte-Treiber-Treiberdetails geschaut, und siehe da unter den ganzen exes und dlls die da stehen waren auch:

c:/windows/system32/sw20.exe
c:/windows/system32/sw24.exe
c:/windows/system32/Winsys.exe
c:/windows/system32/Winsys2.exe

das sagt mir doch das diese Dateien in Abhängigkeit meiner MSI Grafikarte sind...

Oder sehe ich das falsch??


hab mir die Links angeschaut auch das wikipedia aber ich hab keinerlei solcher Dateien oder merkwürdige Symptome auf meinem Rechner.

Mal abwarten ob MSI mir was zurückschreibt. Ich kann ja jetzt nicht wieder alles platt machen zb mal ja nur HijackThis mir das angezeigt hat, Antivir, Adaware haben zb nichts gefunden.

Gruß Lana

@LanaHH
Bist du eigentlich imstande, nicht nur schreiben, aber auch lesen? Hast do TODO-Software installiert?

Natürlich kann ich lesen, wo her soll ich wissen ob ich software von Todo installiert habe?

habe das so verstanden das es open source programme sind, richtig?

Wenn nicht sag du mir was das genau ist, oder wie ich es herausfinden kann?

Mein Windows ist noch ganz neu ich habe nur Emule, irfan view, Adobe reader 8, Gcmail, Winamp, winrar, webpassport, firefox, antivir, sygate firewall, Hijackthis, Word, mehr ist nicht hier auf meinem Pc.
Aber mir macht das schon Sorgen das da evtl ein Trojaner drauf sein könnte.

Danke

Zitat:

Zitat von LanaHH

Natürlich kann ich lesen, wo her soll ich wissen ob ich software von Todo installiert habe?

Mich vera...n kann ich selbst. *PLONK*

Hör mal ich mache mir sicherlich nicht die ganze Mühe tausend log Dateien zu erstellen, sie zu posten, virenscans zu machen, mein Windows noch mal ein zweites mal neu aufzusetzen plus Treibern und programmen was mich mal eben schlappe 4 bis 5 Std kostet und hier in diesem Trojaner Board um Hilfe und Ratschläge zu suchen, wenn ich hier vor hätte Leute zu verarschen...!!

Ich weiß nicht was es mit diesem TODO Begriff auf sich hat, und ich hoffe das mir das nächste mal jemand anders hier antwortet als du.

Das glaub ich ja echt nicht... ich schreib mir hier ein Wolf und dann muß ich mir sagen lassen das ich hier jemand verarschen will nur weil ich nicht Mistress Einstein in Sachen PC und Trojaner suche bin.

bekomme auch die Meldung...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Ich hab die Lösung glaube ich gefunden.
Beim Installieren des Treibers, vorher Virenscanner und Firewall deaktivieren.
So gings bei mir und die Meldung war anschliessend verschwunden