Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Winsvr.exe (https://www.trojaner-board.de/21190-winsvr-exe.html)

Charles 25.08.2005 08:07
Winsvr.exe
 
Hallo,
ich habe die Suchfunktion schon benutzt, jedoch nix zu dieser Datei gefunden.

Meine Daten:
Windows XP mit SP 2, Norton Internet Security™ 2005

Ich war gestern im Internet und Norton meldete, dass die Datei "Winsvr.exe" sich mit dem Internet verbinden will und empfahl diese zu blockieren.

Nachdem ich diese blockiert hatte, googelte ich und fand "nur" den Hinweis "Winsvr.exe is Trojan/Backdoor" mehr nicht... oder ich hab falsch gesucht.

Ich wollte dann im laufenden Betrieb den Run-Eintrag löschen, was auch funktioniert, jedoch nach erneutem Anklicken des Runschlüssels, war er wieder da. Was den obigen Hinweis bestätigt.

Nun hab ich den Rechner im abgesicherten Modus hochgefahren, den Runeintrag entfernt und auch die Winsvr.exe aus dem System32-Ordner.

Meine Fragen sind nun:

1.) Wer kennt diese Datei? Bzw. was macht diese?
2.) Ist nun alles wieder im Lot?

Vielen Dank vorab!!!

cacatoa 25.08.2005 08:27
Hi,
vermutlich hat es sich dabei um den hier gehandelt.
Bezweifle, daß Dein System durch Deine Aktionen wieder clean ist.
Bei backdoor-Trojanern empfehle ich grundsätzlich das Neuaufsetzen des Systems.
Poste bitte trotzdem mal ein HiJackThis-Logfile hier rein und führe vorsichtshalber auch einen eScan durch.
cacatoa

Charles 25.08.2005 10:15
Vielen Dank für die schnelle Antwort. Ich werde das System neu aufsetzen, ist mir lieber...

Wäre es von Interesse, wenn ich vorher einen HiJackThis-Logfile mache?

felix1 25.08.2005 10:34
Wozu, dass kannst Du tun, wenn der PC neu installiert ist.

Charles 30.08.2005 12:45
Hallo,
jetzt weiss ich woher die winsvr.exe stammt.

Ich hatte vor über einem Jahr die Kindersicherung von Salfeld.de installiert und dieses Programm verewigt sich mit besagter Datei und besagten Run-Eintrag auf dem Rechner.

Hab mal Salfeld.de angeschrieben und um Aufklärung gebeten, was diese Datei übermittelt bzw. warum sie sich mit dem Internet verbinden will.

Hat villeicht jemand ähnliche Erfahrungen gemacht? Denn ich wollt mittler Weile die neue Version aufspielen und da will sich diese Datei wieder verbinden. Und Norton pop andauernd auf, so dass ein einmaliges unterbinden nicht funzt.

Charles 31.08.2005 08:07
Mit folgender IP wollte er sich verbinden: 62.134.11.4 : 53

Und per Nic.Com gehört das:

role: BT Ignite Customer Care Centre
address: Mergethaleralle 6-8,
address: 65760, Eschborn, Germany

Hat jemand ne Ahnung was dieses Center macht?

Hab folgende Antwort von Salfeld Computer bekommen, als ich danach fragte, was es mit der winsvr.exe auf sich hat:

Zitat:
Hallo,

ja, leider benutzen auch Viren und Trojaner "gängige" Dateinamen.
Klicken Sie im Windows Systemverzeichnis (default: c:\windows\system32)
einmal bei der winsvr.exe auf Eigenschaften. Dort muss als Hersteller
"Salfeld Computer" eingetragen sein.

Was macht die Winsvr.exe?
Dies ist der Timer und die zweite Überwachungsstufe der Kindersicherung.
Die erste Stufe ist die "erweiterte Internetkontrolle" auf direkter TCP/IP
Basis (scheitert auf einigen PCs an exotischen Scannern, Firewalls).
Wenn diese nicht greift, checkt die winsvr.exe jede angesurfte Seite
auf evtl. verbotene Keywords etc. Die Winsvr.exe enthält *KEINERLEI*
Phone-Home Funktionen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131