|
ich glaub ich brech zusammen.neuer Log bitte mal schauen gerade fertig geworden und dann finde ich im reg cleaner was, was da nicht hingehört, oder habe ich mich nur verschaut.Habe gerade wieder windows/system32/winsys.exe gesehen Logfile of HijackThis v1.98.2 Scan saved at 20:24:41, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Ahead\InCD\InCDsrv.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe E:\WINDOWS\System32\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 |
Dein Hijackthis ist nicht aktuell. Hier der direkte Downloadlink zur neusten Version. Damit bitte einen neuen Log erstellen und posten. Deine Datei, die dir sorgen macht (winsys.exe) kannst du ja mal hier online prüfen lassen : http://virusscan.jotti.org/de |
neuer log Logfile of HijackThis v1.99.0 Scan saved at 05:38:10, on 17.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Ahead\InCD\InCDsrv.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\wuauclt.exe E:\Programme\Internet Explorer\iexplore.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDFC4A4F-6A51-4E32-888D-54DE8E8DCDA9}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich bete die ganze nacht schon :-( |
Hast du Datei denn nun noch und hast du sie überprüft? Im Log ist erstmal nichts weiter zu sehen. Lass mal E-Scan durclaufen: http://www.trojaner-board.de/42731-escan-anleitung.html |
also die Datei winsys exe ist nach wie vor da. Escan hat nix gefunden. Muss ich Escan im abgesicherten machen ??? Habe escan nur im normalen modus gemacht Carsten |
Zitat:
|
hmmm, aber wie komme ich dort hin, in den abgesicherten Modus ??? Carsten |
|
sorry, bischen Stress ,meine Frau dreht schon am Rad. Nörgelt rum das nur ich immer Viren habe und sie auf ihrem PC der mit meinem via crossover Kabel verbunden ist , nie.....bla bla bla. So Escan findet nix im abgesicherten. Habe noch mal ein Log im abgesicherten gemacht.Weiss zwar nicht ob das was bringt, aber bitte: Logfile of HijackThis v1.99.0 Scan saved at 20:02:13, on 17.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\DOKUME~1\carsten\LOKALE~1\Temp\mwavscan.com E:\DOKUME~1\carsten\LOKALE~1\Temp\kavss.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe Carsten |
@ carsten75 nörgeln ist eine Form einem Menschen zu sagen, wieviel er einem bedeutet ... das muss man halt bloss verstehen .. ;) --> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://search.ebay.de/_W0QQgotopage...osortpropertyZ2 Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu. --> Weisst Du vielleicht, was das ist: O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe |
Poste mal bitte folgendes aus der mwav.log (unter C:\bases) Zitat:
|
Zitat:
Was meinst Du damit ???? 3d turbo ist meine Graka das darüber KA Den Rest werde ich umgehend erledigen @ Haui CARSTEN |
ich wollte nur wissen, was es ist. Poste bitte das Ergebnis des eScan. |
So, hier der Escan: Mon Jan 17 20:59:08 2005 => ***** Checking for specific ITW Viruses ***** Mon Jan 17 20:59:08 2005 => Checking for Welchia Virus... Mon Jan 17 20:59:08 2005 => Checking for LovGate Virus... Mon Jan 17 20:59:08 2005 => Checking for CodeRed Virus... Mon Jan 17 20:59:08 2005 => Checking for OpaServ Virus... Mon Jan 17 20:59:08 2005 => Checking for Sobig.e Virus... Mon Jan 17 20:59:08 2005 => Checking for Winupie Virus... Mon Jan 17 20:59:08 2005 => Checking for Swen Virus... Mon Jan 17 20:59:08 2005 => Checking for JS.Fortnight Virus... Mon Jan 17 20:59:08 2005 => Checking for Novarg Virus... Mon Jan 17 20:59:08 2005 => Checking for Pagabot Virus... Mon Jan 17 20:59:08 2005 => Checking for Parite.b Virus... Mon Jan 17 20:59:08 2005 => Checking for Parite.a Virus... Mon Jan 17 20:59:09 2005 => ***** Scanning complete. ***** Mon Jan 17 20:59:09 2005 => Total Files Scanned: 3610 Mon Jan 17 20:59:09 2005 => Total Virus(es) Found: 0 Mon Jan 17 20:59:09 2005 => Total Disinfected Files: 0 Mon Jan 17 20:59:09 2005 => Total Files Renamed: 0 Mon Jan 17 20:59:09 2005 => Total Deleted Files: 0 Mon Jan 17 20:59:09 2005 => Total Errors: 3 Mon Jan 17 20:59:09 2005 => Time Elapsed: 00:02:37 Mon Jan 17 20:59:09 2005 => Virus Database Date: 2005/01/15 Mon Jan 17 20:59:09 2005 => Virus Database Count: 115613 Mon Jan 17 20:59:09 2005 => Scan Completed. Sag mir nur wieso ich den einen Fixen sollte ??? Jetzt ist meine Startseite ja wech.Habe da jetzt about blank stehen ???? Muss das so sein ??? Grüße Carsten |
Ich habs mir gedacht. Du hast eScan falsch ausgeführt. Scanne erneut mit eScan, halte dich diesmal aber bitte an die Anleitung ("all local drives" muss aktiviert sein!!!) |
jau, habe ich gemacht mit all drives, kam aber auch nix bei rum. der hatte vorhin mehr als 30 min gescanned, hatt da aber auch nix gefunden ausser mehr errors. Carsten |
son nochmal den escan wie Du ihn sehen wolltest: Mon Jan 17 22:07:55 2005 => ***** Checking for specific ITW Viruses ***** Mon Jan 17 22:07:55 2005 => Checking for Welchia Virus... Mon Jan 17 22:07:55 2005 => Checking for LovGate Virus... Mon Jan 17 22:07:55 2005 => Checking for CodeRed Virus... Mon Jan 17 22:07:56 2005 => Checking for OpaServ Virus... Mon Jan 17 22:07:56 2005 => Checking for Sobig.e Virus... Mon Jan 17 22:07:56 2005 => Checking for Winupie Virus... Mon Jan 17 22:07:56 2005 => Checking for Swen Virus... Mon Jan 17 22:07:56 2005 => Checking for JS.Fortnight Virus... Mon Jan 17 22:07:56 2005 => Checking for Novarg Virus... Mon Jan 17 22:07:56 2005 => Checking for Pagabot Virus... Mon Jan 17 22:07:56 2005 => Checking for Parite.b Virus... Mon Jan 17 22:07:56 2005 => Checking for Parite.a Virus... Mon Jan 17 22:07:56 2005 => ***** Scanning complete. ***** Mon Jan 17 22:07:56 2005 => Total Files Scanned: 28512 Mon Jan 17 22:07:56 2005 => Total Virus(es) Found: 0 Mon Jan 17 22:07:56 2005 => Total Disinfected Files: 0 Mon Jan 17 22:07:56 2005 => Total Files Renamed: 0 Mon Jan 17 22:07:57 2005 => Total Deleted Files: 0 Mon Jan 17 22:07:57 2005 => Total Errors: 9 Mon Jan 17 22:07:57 2005 => Time Elapsed: 00:37:16 Mon Jan 17 22:07:57 2005 => Virus Database Date: 2005/01/15 Mon Jan 17 22:07:57 2005 => Virus Database Count: 115613 Mon Jan 17 22:07:57 2005 => Scan Completed. Und ?? was meint Ihr ??? Grüße Carsten |
So, habe die 2 Platten rausgeschmissen und die Sata neu formatiert und zum Teil alles neu aufgezogen. Habe bevor ich irgentwas im Internet gemacht habe, Av Personal installiert und geupdatet, Zone Alarm installiert und geupdatet und Windows geupdatet.Benutze nur noch Mozilla als Explorer. Werde mein Surfverhalten überdenken und bete das es jetzt länger steht mein System. Grüße Carsten |
Zitat:
|
ja, da hast du recht, aber wieso habe ich bevor ich überhaupt online gegangen bin schon wieder eine WINSYS.exe Datei ???? Oder ist das normal ??? Also unter c-Programme-system32-und da ist eine winsys.exe drin. Normal oder nicht ??? Danke Carsten |
Ich habe deinen Thread nur kurz überflogen, sollte man nicht machen.http://www.mainzelahr.de/smile/janein/758.gif Die Winsys.exe ist keine Systemdatei, somit also abnormal und verdächtig. Laut deiner Aussage befindet sie sich doch im Ordner C:\Windows\system32 und nicht im Programm Ordner, oder?! Wie hast du denn die Datei gefunden? Mach das was dir cronos schon mal emfohlen hat -> Zitat:
|
Ja genau und die Datei ist ein kleines Grünes rennendes Männchen. Wenn ich die Datei anklicke und eigenschaften aufrufe, steht da unter anderem was von DOT MFC Application. War nicht online und habe nur 2-3 Proggis installiert sonst nix und dann war sie da. Sie erscheint aber nicht in der Start up liste.Gefunden habe ich die Datei weil ich vorgestern einen anderen Thread hier hatte, wo mir jemand einen Virus bescheinigte und ich alles Platt gemacht habe.Jetzt habe ich geschaut ob ide Datei wiederkommt. Und naja ist wieder da. Hier war das Problem http://www.trojaner-board.de/showthread.php?t=12254 Werde mal scannen, kam beim letzten mal aber auch nix bei rum carsten |
Der onlinescan sagt no virus. In winsys. Aber wo kommt die her und wieso so ein grünes laufendes Männchen ???? Ich habe mal bei Sophos die einzelnen Stationen des Ggbot Wurm oder wie der heisst abgearbeitet, kann ihn in der regestry nicht finden. Was passiert oder kann ich das winsys einfach löschen ??? Um zu schauen ob es wieder kommt ??? Komisch alles Neuer Log Logfile of HijackThis v1.99.0 Scan saved at 22:24:49, on 18.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\av\AVGNT.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe D:\av\AVGUARD.EXE D:\av\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\explorer.exe D:\firefox\firefox.exe C:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\av\AVGNT.EXE /min O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106077054781 O17 - HKLM\System\CCS\Services\Tcpip\..\{58100B7C-D04D-4F7C-B13E-D0BA058EB06F}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\av\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\av\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Siehe http://www.google.de/search?hl=de&cl...nG=Suche&meta= Schicke diese Datei zur Dateianalyse gezippt und passwortgeschützt an virus@rokop-security.de und warte das Ergebnis ab. |
welche Datei meinst Du ???? Die winsys ???? Soll ich die Zippen und dort hin schicken ??? |
Um welche Dateien geht es denn hier die ganze Zeit? Ja richtig, die winsys.exe! Zitat:
Entweder liest du meine Posts nicht oder du willst mich verarschen! |
Sorry, habe deine letzte Antwort nicht richtig deuten können, wegen dem ersten Satz mit siehe und dem Google link. Habe aber heute morgen nachdem ich das gelesen habe die Datei gepacket und hingeschickt. Bischen denken kann ich auch *lach*, Habe aber noch keine Antwort. Ich habe aber auch heute mogrne die WINSYS einfach mal gelöscht, und ist bis jetzt nicht wieder da. Trotzdem Danke für Deine Mühe Melde mich wieder wenn ich was weiss Carsten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board