Hallo,
ich habe die Suchfunktion schon benutzt, jedoch nix zu dieser Datei gefunden.

Meine Daten:
Windows XP mit SP 2, Norton Internet Security™ 2005

Ich war gestern im Internet und Norton meldete, dass die Datei "Winsvr.exe" sich mit dem Internet verbinden will und empfahl diese zu blockieren.

Nachdem ich diese blockiert hatte, googelte ich und fand "nur" den Hinweis "Winsvr.exe is Trojan/Backdoor" mehr nicht... oder ich hab falsch gesucht.

Ich wollte dann im laufenden Betrieb den Run-Eintrag löschen, was auch funktioniert, jedoch nach erneutem Anklicken des Runschlüssels, war er wieder da. Was den obigen Hinweis bestätigt.

Nun hab ich den Rechner im abgesicherten Modus hochgefahren, den Runeintrag entfernt und auch die Winsvr.exe aus dem System32-Ordner.

Meine Fragen sind nun:

1.) Wer kennt diese Datei? Bzw. was macht diese?
2.) Ist nun alles wieder im Lot?

Vielen Dank vorab!!!

Hi,
vermutlich hat es sich dabei um den hier gehandelt.
Bezweifle, daß Dein System durch Deine Aktionen wieder clean ist.
Bei backdoor-Trojanern empfehle ich grundsätzlich das Neuaufsetzen des Systems.
Poste bitte trotzdem mal ein HiJackThis-Logfile hier rein und führe vorsichtshalber auch einen eScan durch.
cacatoa

Vielen Dank für die schnelle Antwort. Ich werde das System neu aufsetzen, ist mir lieber...

Wäre es von Interesse, wenn ich vorher einen HiJackThis-Logfile mache?

Wozu, dass kannst Du tun, wenn der PC neu installiert ist.

Hallo,
jetzt weiss ich woher die winsvr.exe stammt.

Ich hatte vor über einem Jahr die Kindersicherung von Salfeld.de installiert und dieses Programm verewigt sich mit besagter Datei und besagten Run-Eintrag auf dem Rechner.

Hab mal Salfeld.de angeschrieben und um Aufklärung gebeten, was diese Datei übermittelt bzw. warum sie sich mit dem Internet verbinden will.

Hat villeicht jemand ähnliche Erfahrungen gemacht? Denn ich wollt mittler Weile die neue Version aufspielen und da will sich diese Datei wieder verbinden. Und Norton pop andauernd auf, so dass ein einmaliges unterbinden nicht funzt.

Mit folgender IP wollte er sich verbinden: 62.134.11.4 : 53

Und per Nic.Com gehört das:

role: BT Ignite Customer Care Centre
address: Mergethaleralle 6-8,
address: 65760, Eschborn, Germany

Hat jemand ne Ahnung was dieses Center macht?

Hab folgende Antwort von Salfeld Computer bekommen, als ich danach fragte, was es mit der winsvr.exe auf sich hat:

Zitat:

Hallo,

ja, leider benutzen auch Viren und Trojaner "gängige" Dateinamen.
Klicken Sie im Windows Systemverzeichnis (default: c:\windows\system32)
einmal bei der winsvr.exe auf Eigenschaften. Dort muss als Hersteller
"Salfeld Computer" eingetragen sein.

Was macht die Winsvr.exe?
Dies ist der Timer und die zweite Überwachungsstufe der Kindersicherung.
Die erste Stufe ist die "erweiterte Internetkontrolle" auf direkter TCP/IP
Basis (scheitert auf einigen PCs an exotischen Scannern, Firewalls).
Wenn diese nicht greift, checkt die winsvr.exe jede angesurfte Seite
auf evtl. verbotene Keywords etc. Die Winsvr.exe enthält *KEINERLEI*
Phone-Home Funktionen.