Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winsys2.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.07.2008, 08:50   #1
joergfries
 
winsys2.exe - Standard

winsys2.exe



Moin

Ich habe mal wieder eine Frage:
Seit dem letzten Update von Spybot auf die Version 1.6 bekomme ich von meinem AntiVir Guard eine Meldung über die o.a. Datei im Ordner Windows/System32, es sei der TR/Agent ISR. Die Meldung erscheint mehrmals, allerdings nur, wenn Spybot einen Suchlauf durchführt bzw. wenn ich die Datei direkt anspreche.
Laut Google gibt es unterschiedliche Meinungen, ob das Ding jetzt bösartig ist oder nicht. Eine Auswertung von Hijack ergab nichts Auffälliges, eine Auswertung bei Virustotal ergab drei Meldungen bei 33 Engines. Soll ich mir jetzt Sorgen machen oder kann ich das Ding ignorieren. Ich füge mal die beiden Logs bei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:50, on 18.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Folding@Home\winFAH.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Folding@Home\FahCore_82.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jörg\Desktop\Systemwartung\HijackThis2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX Toolbar\Update\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Startup: FreePDF Assistant.lnk = C:\Programme\FreePDF_XP\fpassist.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 6311 bytes

und Nr 2:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.1.11 2008.07.18 TR/Agent.ISR
Authentium 5.1.0.4 2008.07.18 -
Avast 4.8.1195.0 2008.07.18 -
AVG 8.0.0.130 2008.07.18 -
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.18 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 -
eSafe 7.0.17.0 2008.07.17 -
eTrust-Vet 31.6.5966 2008.07.18 -
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 -
F-Secure 7.60.13501.0 2008.07.18 -
Fortinet 3.14.0.0 2008.07.19 -
GData 2.0.7306.1023 2008.07.18 -
Ikarus T3.1.1.34.0 2008.07.18 -
Kaspersky 7.0.0.125 2008.07.18 -
McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.18 -
NOD32v2 3281 2008.07.18 -
Norman 5.80.02 2008.07.18 -
Panda 9.0.0.4 2008.07.18 Trj/Agent.ISR
Prevx1 V2 2008.07.19 -
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.1 2008.07.18 -
VirusBuster 4.5.11.0 2008.07.18 -
Webwasher-Gateway 6.6.2 2008.07.18 Trojan.Agent.ISR

weitere Informationen
File size: 208896 bytes
MD5...: daee383586db76671c43a83c04e51283
SHA1..: fd2d42ae4d08c8c05fd3d83f23226ce5876f2094
SHA256: 276c9f0396e17545b99ca1142b4f2b682ca06f56325c15bc7c9bb73312d8f654
SHA512: 223f50bc67883264f99935cdc2e675b64daae5446fa9f1c4f9f95221e6f21bc1
50b93fef45633dd71b470b241d84324560be506c7cb610043da12cdda5879942
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40ff14
timedatestamp.....: 0x4452df55 (Sat Apr 29 03:36:53 2006)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20696 0x21000 6.63 bd377d7cb431186fd1db7f3366661b37
.rdata 0x22000 0x7cfe 0x8000 4.89 562171d06132cc61a3adc5c240a48ca4
.data 0x2a000 0x8e54 0x3000 3.11 2fd85ba7481de3b532c9cedb7ed74e53
CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f
( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc,
VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap,
GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree,
HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess,
SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep,
FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW,
GetEnvironmentStringsW, SetHandleCount, GetFileType,
QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP,
GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA,
GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP,
WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess,
GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile,
GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree,
DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc,
InitializeCriticalSection, GlobalHandle, GlobalReAlloc,
EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc,
GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource,
GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread,
GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA,
EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom,
FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA,
GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA,
LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource,
MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA,
Virustotal. MD5: daee383586db76671c43a83c04e51283 TR/Agent.ISR...http:
CompareStringA, GetVersionExA, GetVersion, GetLastError,
WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange,
UnhandledExceptionFilter
> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint,
BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA,
DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA,
RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture,
GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus,
GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos,
MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu,
CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA,
GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID,
DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos,
SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow,
GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA,
DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog,
DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA,
GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor,
SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage,
DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic,
GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow,
GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID,
GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA,
IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect,
SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus,
GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject,
PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx,
SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA,
GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA,
SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA,
RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA,
RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -
( 0 exports )
__________________
Gruß
Jörg

Alt 19.07.2008, 09:53   #2
Heike
 
winsys2.exe - Standard

winsys2.exe



Du hast eine NVIDIA Grafik-Karte, die verwendet diesen Datei-Namen ebenfalls. Ich habe sie auch auf dem PC und weiß, das ich nicht infiziert bin.

lies auch mal hier, wenn Du magst: http://www.trojaner-board.de/56124-f...warebytes.html
__________________

__________________

Alt 19.07.2008, 09:58   #3
joergfries
 
winsys2.exe - Standard

winsys2.exe



Moin
Danke für die Antwort. Das hatte ich schon gelesen, deshalb auch meine Konfusion, weil die Alarme erst seit vorgestern auftauchen, und die Datei ja schon länger auf dem Rechner sein müsste, wenn sie mit der GraKa zusammenhängt. Die einzige Änderung, die ich am System durchgeführt hatte, war das Update von Spybot S&D und natürlich des tgl. Update von Antivir. Evtl. hängts es ja auch damit zusammen!?
__________________
__________________

Alt 19.07.2008, 10:13   #4
Heike
 
winsys2.exe - Standard

winsys2.exe



Ja, ich denke es hängt damit zusammen.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 19.07.2008, 10:23   #5
joergfries
 
winsys2.exe - Standard

winsys2.exe



Ich habe die Datei jetzt mal beim Antivirguard auf "Ignorieren" eingetragen und werde mal nach den entsprechenden Updates überprüfen, ob sie immer noch auffällig ist. Danke für die Unterstützung.

__________________
Gruß
Jörg

Antwort

Themen zu winsys2.exe
2.0.7, adobe, antivir, antivir guard, antivirus, avira, bho, defender, desktop, einstellungen, explorer, firefox, focus, folding, frage, google, gservice, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, mozilla, mozilla firefox, nvidia, rundll, software, suchlauf, virus, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: winsys2.exe


  1. Ist die WinSYS2.exe ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (0)
  2. MBAM findet Trojan.Agent in C:\Windows\System32\WinSys2.exe
    Log-Analyse und Auswertung - 04.05.2009 (7)
  3. winsys2.exe
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (1)
  4. winsys2.exe
    Mülltonne - 19.07.2008 (0)
  5. WinSys2.exe was ist das?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2007 (13)

Zum Thema winsys2.exe - Moin Ich habe mal wieder eine Frage: Seit dem letzten Update von Spybot auf die Version 1.6 bekomme ich von meinem AntiVir Guard eine Meldung über die o.a. Datei im - winsys2.exe...
Archiv
Du betrachtest: winsys2.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.