wins.exe

moin leude,

wenn mein win2k hochfährt, poppen kurz nach dem erscheinen der win2k oberfläche zwei dos fenster auf, mit der angabe oben, dass es das programm C:\WINNT\system32\wins.exe ist
ABER: das proggi gibbet gar nicht! weder mit suchmaske noch mit der angabe, dass der explorer auch die versteckten datien anzeigen soll!!
was soll das?!?
antivir melde kein larm.
bin ZIEMLICH verunsichert. system is superfrish aufgesetzt.
hab alle updates gezogen, die microsoft hergibt

danke und greetings
zed

Hallo Zed,
geh mal unter Wintotal, Tipparchiv, Spywareliste und gib unter Suchen  wins.exe ein. Da findest Du sie. Ist aber kein Schädling.
Gute Nacht!

sorry, aber die wins.exe gibt es nur unter den server betriebssystemen, nicht aber in der w2k workstation fassung. warum bei dir jetzt die dos-fenster erscheinen, ist mir rätselhaft. hast du beim installieren vom netzwerk irgendwas mit wins konfiguriert? lade dir mal hijackthis runter und prüfe das log hier www.hijackthis.de oder poste mal das log hier rein ...

greetz

hugo

Da hat hp gar nicht mal Unrecht - WINS ist ein Dienst, den nur ein Server bereitstellt, daher hier mal die Frage an zed:
Sicher, das du eine W2k Pro aufgesetzt hast und nicht doch nen W2k Server ?!?

Cheers,
Joshua

hab definitiv win2k pro, kein server! fuck, was soll das :'(

hier der logfil von hijack:

Logfile of HijackThis v1.99.1
Scan saved at 11:56:45, on 24.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RSPC Driver] rspc.exe
O4 - HKLM\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sygate Personal Firewall] wins.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Windows Compliant] mqprlr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] wins.exe
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - HKLM\..\RunServices: [Windows Compliant] mqprlr.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] wins.exe
O4 - HKCU\..\Run: [RSPC Driver] rspc.exe
O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKCU\..\Run: [Windows Compliant] mqprlr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7B6587C-42ED-4007-A4EC-973BC2167A4D}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Du solltest Dir mal schnellstens ein anderes Antivirenprogramm zulegen
Und da fehlen scheinbar auch wichtige Sicherheitspatches, kennst Du die Update-Seite von Microsoft?

O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe

Zum Vergrößern anklicken....

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GAB&VSect=Sn

Den Rest habe ich mir noch nicht angeschaut.

Edit: Zur Wins.exe im Zusammenhang mit der FW von Sygate habe ich nichts gefunden.
Bei mir gibt es keine Wins.exe

scan mal die kiste richtig, zb. das hier


O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe

deutet auf den wurm WORM_RBOT.GAB hier http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.GAB gibt´s nähere info ... am besten lädts du dir mal den sysclean package von trendmicro runter http://www.trendmicro.com/download/dcs.asp mit dem aktuellen patternfile http://www.trendmicro.com/download/pattern.asp das du in das verzeichnis in das du die sysclen.com gelegt hast, entpackst. dann gehst du in den abgesicherten modus und läßt mal die sysclean.com laufen ...

greetz

hugo

O4 - HKLM\..\RunServices: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] wins.exe
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - HKLM\..\RunServices: [Windows Compliant] mqprlr.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] wins.exe
O4 - HKCU\..\Run: [RSPC Driver] rspc.exe
O4 - HKCU\..\Run: [NTFSS MICROSOFT SYSTEM] filees.exe
O4 - HKCU\..\Run: [Windows Compliant] mqprlr.exe

das ist alles nichts gutes hier ...

WORM_SPYBOT.JR

manipuliert/erzeugt die wins.exe usw ... der sysclean sollte einiges bereinigen können. dann lade dir noch ad-aware, spybot search & destroy runter, mach die updates und lass die auch mal über dein system laufen. alles was gefunden wird, bereinigen lassen ...

greetz

hugo
greetz

hugo

hallo leute

seit einiger zeit beunruhigt mich eine datei names status.mpf welche sich im ordner system32 befindet bzw. sich dort immer wieder regeneriert. außerdem hatte ich bis gestern noch eine datei namens filees.exe sowie eine 180solution
.................
frage:
können diese dinger etwas anrichten?
ich habe das betriebssystem windows2000 und folgende programme:
ad-aware SE personal
spybot s&d
ewido security suite
microsoft antypyware
...................
sysclean lief bereits aber die status.mpf kam wieder
....................
kann mir denn da jemand helfen?
vielen dank

antivir personal edition (H+BEDV)

Hattest oder hast du noch etwas von McAffee drauf---> status.mpf drauf?
filees.exe wird auch von einem Trojaner angelegt.

Bring mal deine Signaturen deiner Programme auf den neuesten Stand und scanne nochmals alles durch. Würde auch mal einen Onlinescann nebenbei machen, falls AntVir nichts rausspuckt.
http://www.bitdefender.com/scan/license.php
http://security.symantec.com/sscv6/sc_scan.asp?

mpf ist tatsächlich von msaffee. danke
habs wohl geschafft .. system wieder stabil. danke