wins.exe

Dieses Thema wins.exe im Forum "Windows 95-2000" wurde erstellt von zed, 22. Feb. 2005.

Thema: wins.exe moin leude, wenn mein win2k hochfährt, poppen kurz nach dem erscheinen der win2k oberfläche zwei dos fenster auf,...

  1. zed
    zed
    moin leude,

    wenn mein win2k hochfährt, poppen kurz nach dem erscheinen der win2k oberfläche zwei dos fenster auf, mit der angabe oben, dass es das programm C:\WINNT\system32\wins.exe ist
    ABER: das proggi gibbet gar nicht! weder mit suchmaske noch mit der angabe, dass der explorer auch die versteckten datien anzeigen soll!!
    was soll das?!?
    antivir melde kein larm.
    bin ZIEMLICH verunsichert. system is superfrish aufgesetzt.
    hab alle updates gezogen, die microsoft hergibt :D

    danke und greetings
    zed
     
  2. Hallo Zed,
    geh mal unter Wintotal, Tipparchiv, Spywareliste und gib unter Suchen  wins.exe ein. Da findest Du sie. Ist aber kein Schädling.
    Gute Nacht!
     
  3. hp
    hp
    sorry, aber die wins.exe gibt es nur unter den server betriebssystemen, nicht aber in der w2k workstation fassung. warum bei dir jetzt die dos-fenster erscheinen, ist mir rätselhaft. hast du beim installieren vom netzwerk irgendwas mit wins konfiguriert? lade dir mal hijackthis runter und prüfe das log hier www.hijackthis.de oder poste mal das log hier rein ...

    greetz

    hugo
     
  4. Da hat hp gar nicht mal Unrecht - WINS ist ein Dienst, den nur ein Server bereitstellt, daher hier mal die Frage an zed:
    Sicher, das du eine W2k Pro aufgesetzt hast und nicht doch nen W2k Server ?!?

    Cheers,
    Joshua
     
  5. zed
    zed
    hab definitiv win2k pro, kein server! fuck, was soll das :'(

    hier der logfil von hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:56:45, on 24.02.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\RUNDLL32.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [RSPC Driver] rspc.exe
    O4 - HKLM\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Sygate Personal Firewall] wins.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Windows Compliant] mqprlr.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKLM\..\RunServices: [Sygate Personal Firewall] wins.exe
    O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
    O4 - HKLM\..\RunServices: [Windows Compliant] mqprlr.exe
    O4 - HKCU\..\Run: [Sygate Personal Firewall] wins.exe
    O4 - HKCU\..\Run: [RSPC Driver] rspc.exe
    O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKCU\..\Run: [Windows Compliant] mqprlr.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D7B6587C-42ED-4007-A4EC-973BC2167A4D}: NameServer = 213.191.74.18 213.191.92.87
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
     
  6. Du solltest Dir mal schnellstens ein anderes Antivirenprogramm zulegen ;)
    Und da fehlen scheinbar auch wichtige Sicherheitspatches, kennst Du die Update-Seite von Microsoft?

    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GAB&VSect=Sn

    Den Rest habe ich mir noch nicht angeschaut.

    Edit: Zur Wins.exe im Zusammenhang mit der FW von Sygate habe ich nichts gefunden.
    Bei mir gibt es keine Wins.exe
     
  7. hp
    hp
    scan mal die kiste richtig, zb. das hier


    O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe

    deutet auf den wurm WORM_RBOT.GAB hier http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GAB gibt´s nähere info ... am besten lädts du dir mal den sysclean package von trendmicro runter http://www.trendmicro.com/download/dcs.asp mit dem aktuellen patternfile http://www.trendmicro.com/download/pattern.asp das du in das verzeichnis in das du die sysclen.com gelegt hast, entpackst. dann gehst du in den abgesicherten modus und läßt mal die sysclean.com laufen ...

    greetz

    hugo
     
  8. hp
    hp
    O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKLM\..\RunServices: [Sygate Personal Firewall] wins.exe
    O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
    O4 - HKLM\..\RunServices: [Windows Compliant] mqprlr.exe
    O4 - HKCU\..\Run: [Sygate Personal Firewall] wins.exe
    O4 - HKCU\..\Run: [RSPC Driver] rspc.exe
    O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
    O4 - HKCU\..\Run: [Windows Compliant] mqprlr.exe

    das ist alles nichts gutes hier ...

    WORM_SPYBOT.JR

    manipuliert/erzeugt die wins.exe usw ... der sysclean sollte einiges bereinigen können. dann lade dir noch ad-aware, spybot search & destroy runter, mach die updates und lass die auch mal über dein system laufen. alles was gefunden wird, bereinigen lassen ...

    greetz

    hugo
    greetz

    hugo
     
  9. hallo leute

    seit einiger zeit beunruhigt mich eine datei names status.mpf welche sich im ordner system32 befindet bzw. sich dort immer wieder regeneriert. außerdem hatte ich bis gestern noch eine datei namens filees.exe sowie eine 180solution
    .................
    frage:
    können diese dinger etwas anrichten?
    ich habe das betriebssystem windows2000 und folgende programme:
    ad-aware SE personal
    spybot s&d
    ewido security suite
    microsoft antypyware
    ...................
    sysclean lief bereits aber die status.mpf kam wieder
    ....................
    kann mir denn da jemand helfen?
    vielen dank

    antivir personal edition (H+BEDV)
     
  10. Hattest oder hast du noch etwas von McAffee drauf---> status.mpf drauf?
    filees.exe wird auch von einem Trojaner angelegt.

    Bring mal deine Signaturen deiner Programme auf den neuesten Stand und scanne nochmals alles durch. Würde auch mal einen Onlinescann nebenbei machen, falls AntVir nichts rausspuckt.
    http://www.bitdefender.com/scan/license.php
    http://security.symantec.com/sscv6/sc_scan.asp?