Winsys.exe

Dieses Thema im Forum "Sicherheit" wurde erstellt von zehde, 15. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. zehde

    zehde Kbyte

    Registriert seit:
    14. Dezember 2002
    Beiträge:
    142
    Hallo Freunde,

    nach einer Hijack-This Kontrolle sagt mir die Auto.-Auswertung, ich hätte einen bösen Prozeß am laufen - nämlich Winsys.exe. Habe den natürlich direkt deaktiviert und aus der Autostart genommen.

    Danach habe ich mal nach winsys.exen auf meinem PC gesucht und festgestellt, daß diese im Setup-Verzeichnis der neuen Detonatoren für meine NVidia fx5900 liegen.

    Jetzt frage i9ch mich, ob HJ-T. bei der Diagnose einen Fehler gemacht hat. War meine Winsys vielleicht doch bestandteil der Graka-Umgebung?

    Grüße
    Chris
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo zehde

    Ich nehme mal an, die hast die automatische Auswertung über http://www.hijackthis.de gemacht, oder?

    Die automatische Auswertung auf dieser Seite ist mit Vorsicht zu genießen, da die Auswertung noch nicht ganz ausgereift ist. Bei einem User wurde sogar die Kaspersky Firewall als "Böse" erkannt.

    Poste die Log Datei bitte mal hier im Forum.

    Gruß
    Nevok
     
  3. matzelein

    matzelein Kbyte

    Registriert seit:
    9. November 2003
    Beiträge:
    486
    Also ich habe den Nvidia FX-treiber 56.72 vom April drauf und keine Winsys.exe auf dem Rechner.
    De neuesten FX-treiber habe ich allerdings noch nicht installiert.

    Gruß matzelein
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo zehde,

    bei dieser Datei Winsys.exe handelt es sich mit Sicherheit um aktive Malware , wie z.B. Rbot.gen oder Wurm Bagle.
    Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
    und poste das Ergebnis.

    Ps.
    Das aktuelle Log-File nicht vergessen.
     
  5. zehde

    zehde Kbyte

    Registriert seit:
    14. Dezember 2002
    Beiträge:
    142
    Hier erstmal das Log:

    Logfile of HijackThis v1.98.2
    Scan saved at 14:24:52, on 15.08.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\rundll32.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe
    O4 - HKLM\..\Run: [Ati Control Panel] atiphexx.exe
    O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
    O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{65EE05D1-4E0A-4B63-8186-CFBEFC2B986D}: NameServer = 62.53.220.69 193.189.244.205

    Das erscheint wenn ich auch C: nach Winsys.exe suche:

    C:\WINDOWS\Prefetch\WINSYS.EXE-00391A51.pf
    C:\WINDOWS\system32\winsys.exe 132 KB
    C:\Programme\Setup Files\NVIDIA v5303 (MSI Version)\winsys.exe 132 KB
    C:\Programme\Setup Files\NVIDIA v5663 (MSI Version)\winsys.exe132 KB
    C:\Programme\Setup Files\NVIDIA v6121 (MSI Version)\winsys.exe132 KB
    C:\WINDOWS\LastGood\System32\winsys.exe132 KB
    C:\Programme\MSI\Live Update 3\VBWINSYS
     
  6. zehde

    zehde Kbyte

    Registriert seit:
    14. Dezember 2002
    Beiträge:
    142
    Und hier Kaspersky:


    Zu überprüfende Datei: winsys.exe

    winsys.exe Ok

     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Dein Log-File sieht bis auf diesen Eintrag O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe sauber aus.

    Schicke bitte diese Dateien gezippt zur Dateianalyse an virus@rokop-security.de :

    C:\WINDOWS\system32\winsys.exe 132 KB
    C:\Programme\Setup Files\NVIDIA v5303 (MSI Version)\winsys.exe 132 KB
    C:\Programme\Setup Files\NVIDIA v5663 (MSI Version)\winsys.exe132 KB
    C:\Programme\Setup Files\NVIDIA v6121 (MSI Version)\winsys.exe132 KB
    C:\WINDOWS\LastGood\System32\winsys.exe132 KB

    Ps.
    Die beiden Alexa Einträge kannst du noch fixen:
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
     
  8. zehde

    zehde Kbyte

    Registriert seit:
    14. Dezember 2002
    Beiträge:
    142
    Was ist mit O4 - HKLM\..\Run: [Ati Control Panel] atiphexx.exe
    Der Hj-T Auto-Logfile-Analyser sagt, auch das sei eine "böse" Anwendung....

    PS: Habe die Dateien mit AntiVir lokal gecheckt. Alle gingen problemlos durch.
    Die winsys'es in den Installationsverzeichnissen wurden so von http://www.msi.com.tw runtergeladen und installiert, dann nie wieder angefasst. Komischer Zufall, daß in jeder ein Virus sitzen soll der von keinem Scanner erkannt wird.
    Die Dateien haben sogar ein eigenes Icon (ein rennendes Männchen).

    Vielleicht maile ich mal dem Support bei MSI.
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Stimmt, hatte ich leider übersehen!!:aua:
    Deine Grafikkarte ist von Nvidia.
    Überprüfe diese atiphexx.exe bei Kaspersky und poste das Ergebnis.
    Siehe selbst:
    http://www.google.de/search?hl=de&ie=UTF-8&q=atiphexx.exe&btnG=Suche&meta=
     
  10. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Da du ja offenbar einen NVIDIA-Grafikchip hast, wirds ja kaum was von ATI sein.

    Laut Google ist das ein Wurm, und zwar der hier:
    http://www.sophos.de/virusinfo/analyses/w32agobotnv.html


    Das würde jetzt eigentlich heißen Neuaufsetzen, da dein System infiziert ist...



    PS: Cidre war schneller
     
  11. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Auch die atiphexx.exe? Das würd mich wundern.


     
  12. zehde

    zehde Kbyte

    Registriert seit:
    14. Dezember 2002
    Beiträge:
    142
    Na das ist es ja grade: Eine ATIPHEXX.EXE finde ich auf meinem System nirgends. Hab auch noch nie eine solche in meinem Taskmanager gesehen. Oder sonstwo, nur diesen HijackThis-Eintrag jetzt.

    Sophos sagt:
    Meine Registry zeigt solche Einträge aber an keiner Stelle.
     
  13. PcVersteher

    PcVersteher Byte

    Registriert seit:
    29. November 2003
    Beiträge:
    50
    hallo zusammen

    Eine Ergänzung zum Thema winsys.exe von MSI

    1.Die Datei heisst richtig VBWINSYS.EXE und gehört zum MSI Lifeupdate 3.0

    2. Schon mal jemandem aufgefallen, dass per default im Ordner -> Windows\System32\drivers immer ATI und Intel - Grafiktreiberdateien gespeichert sind ? auch wenn man eine Grafikkarte von Nvidia hat ? ;)


    mfg PcVersteher
     
  14. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wo hast du denn die Info her?

    Und welches OS hast du? Bei mir (Win2000) gibts da nix von ATI oder Intel.



     
  15. Micha71

    Micha71 Byte

    Registriert seit:
    16. Februar 2002
    Beiträge:
    75
    Hi@all!

    Die Datei Winsys.exe (Icon: grünes Männchen) die mit dem MSI-nVidia-Treiber installiert wird hat mit dem Virus nur eins gemeinsam... den Namen. Ansonsten ist die Datei ok :)

    Die Datei, die auch als Prozess im Hintergrund läuft, ist für das MSI-Feature "D.O.T" Dynamic Overclocking Technology zuständig. Je nach Gebrauch wird damit die Taktrate der GPU bzw. des RAMS dynamisch angepasst.

    Ich hatte im MSI-Forum mal ne Anleitung geschrieben, wie man D.O.T. in den jeweils aktuellen nVidia-Referenztreiber einbindet:

    http://msi.designlab.info/thread.php?postid=78656#post78656

    Gruss,
    Micha / WildThing
     
  16. PcVersteher

    PcVersteher Byte

    Registriert seit:
    29. November 2003
    Beiträge:
    50
    hallo

    @ TheDoctor

    Mir ist es schon oft aufgefallen bei Windows XP.
    Und man kann sie nicht so ohne weiteres deinstallieren, da sie nach dem einfachen löschen aus der Datei Driver.cab wieder geholt werden und im Verzeichnis dllcache abgelegt werden. Wenn man allerdings eine modifizierte Vollautomatische Installations CD hat tritt diese Besonderheit nicht auf. Ausserdem hatte ich einige Leute die mich gefragt haben , warum in ihrem "drivers" Verzeichnis Dateien stehen die mit ATI beginnen obwohl sie nie solche Karten benutzt haben. Darauf hin habe ich mir diese Dateien angesehen und bei "Eigenschaften ... Version " dieser Treiber stand dann ATi bla Bla oder Intel Grafik Driver blablup etc.
    Dann habe ich per default CD XP hin und wieder installiert bei einigen und immer geprüft, ob das bei denen Auftritt. Und immer war es so.

    mfg PcVertsteher
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ach so, bei XP. ;)

    Sorry, ich dachte du meinst alle Windows-Versionen.


     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen