Winsys.exe

Hallo Freunde,

nach einer Hijack-This Kontrolle sagt mir die Auto.-Auswertung, ich hätte einen bösen Prozeß am laufen - nämlich Winsys.exe. Habe den natürlich direkt deaktiviert und aus der Autostart genommen.

Danach habe ich mal nach winsys.exen auf meinem PC gesucht und festgestellt, daß diese im Setup-Verzeichnis der neuen Detonatoren für meine NVidia fx5900 liegen.

Jetzt frage i9ch mich, ob HJ-T. bei der Diagnose einen Fehler gemacht hat. War meine Winsys vielleicht doch bestandteil der Graka-Umgebung?

Grüße
Chris

 

Hallo zehde

Ich nehme mal an, die hast die automatische Auswertung über http://www.hijackthis.de gemacht, oder?

Die automatische Auswertung auf dieser Seite ist mit Vorsicht zu genießen, da die Auswertung noch nicht ganz ausgereift ist. Bei einem User wurde sogar die Kaspersky Firewall als "Böse" erkannt.

Poste die Log Datei bitte mal hier im Forum.

Gruß
Nevok

 

Also ich habe den Nvidia FX-treiber 56.72 vom April drauf und keine Winsys.exe auf dem Rechner.
De neuesten FX-treiber habe ich allerdings noch nicht installiert.

Gruß matzelein

 

Hallo zehde,

bei dieser Datei Winsys.exe handelt es sich mit Sicherheit um aktive Malware , wie z.B. Rbot.gen oder Wurm Bagle.
Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.

Ps.
Das aktuelle Log-File nicht vergessen.

 

Hier erstmal das Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:24:52, on 15.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe
O4 - HKLM\..\Run: [Ati Control Panel] atiphexx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EE05D1-4E0A-4B63-8186-CFBEFC2B986D}: NameServer = 62.53.220.69 193.189.244.205

Das erscheint wenn ich auch C: nach Winsys.exe suche:

C:\WINDOWS\Prefetch\WINSYS.EXE-00391A51.pf
C:\WINDOWS\system32\winsys.exe 132 KB
C:\Programme\Setup Files\NVIDIA v5303 (MSI Version)\winsys.exe 132 KB
C:\Programme\Setup Files\NVIDIA v5663 (MSI Version)\winsys.exe132 KB
C:\Programme\Setup Files\NVIDIA v6121 (MSI Version)\winsys.exe132 KB
C:\WINDOWS\LastGood\System32\winsys.exe132 KB
C:\Programme\MSI\Live Update 3\VBWINSYS

 

Und hier Kaspersky:


Zu überprüfende Datei: winsys.exe

winsys.exe Ok

 

Dein Log-File sieht bis auf diesen Eintrag O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe sauber aus.

Schicke bitte diese Dateien gezippt zur Dateianalyse an virus@rokop-security.de :

C:\WINDOWS\system32\winsys.exe 132 KB
C:\Programme\Setup Files\NVIDIA v5303 (MSI Version)\winsys.exe 132 KB
C:\Programme\Setup Files\NVIDIA v5663 (MSI Version)\winsys.exe132 KB
C:\Programme\Setup Files\NVIDIA v6121 (MSI Version)\winsys.exe132 KB
C:\WINDOWS\LastGood\System32\winsys.exe132 KB

Ps.
Die beiden Alexa Einträge kannst du noch fixen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Was ist mit O4 - HKLM\..\Run: [Ati Control Panel] atiphexx.exe
Der Hj-T Auto-Logfile-Analyser sagt, auch das sei eine "böse" Anwendung....

PS: Habe die Dateien mit AntiVir lokal gecheckt. Alle gingen problemlos durch.
Die winsys'es in den Installationsverzeichnissen wurden so von http://www.msi.com.tw runtergeladen und installiert, dann nie wieder angefasst. Komischer Zufall, daß in jeder ein Virus sitzen soll der von keinem Scanner erkannt wird.
Die Dateien haben sogar ein eigenes Icon (ein rennendes Männchen).

Vielleicht maile ich mal dem Support bei MSI.

 

Stimmt, hatte ich leider übersehen!!
Deine Grafikkarte ist von Nvidia.
Überprüfe diese atiphexx.exe bei Kaspersky und poste das Ergebnis.
Siehe selbst:
http://www.google.de/search?hl=de&ie=UTF-8&q=atiphexx.exe&btnG=Suche&meta=

 

Da du ja offenbar einen NVIDIA-Grafikchip hast, wirds ja kaum was von ATI sein.

Laut Google ist das ein Wurm, und zwar der hier:
http://www.sophos.de/virusinfo/analyses/w32agobotnv.html


Das würde jetzt eigentlich heißen Neuaufsetzen, da dein System infiziert ist...



PS: Cidre war schneller

 

Auch die atiphexx.exe? Das würd mich wundern.

 

Na das ist es ja grade: Eine ATIPHEXX.EXE finde ich auf meinem System nirgends. Hab auch noch nie eine solche in meinem Taskmanager gesehen. Oder sonstwo, nur diesen HijackThis-Eintrag jetzt.

Sophos sagt:

Meine Registry zeigt solche Einträge aber an keiner Stelle.

 

hallo zusammen

Eine Ergänzung zum Thema winsys.exe von MSI

1.Die Datei heisst richtig VBWINSYS.EXE und gehört zum MSI Lifeupdate 3.0

2. Schon mal jemandem aufgefallen, dass per default im Ordner -> Windows\System32\drivers immer ATI und Intel - Grafiktreiberdateien gespeichert sind ? auch wenn man eine Grafikkarte von Nvidia hat ?


mfg PcVersteher

 

Wo hast du denn die Info her?

Und welches OS hast du? Bei mir (Win2000) gibts da nix von ATI oder Intel.

 

Hi@all!

Die Datei Winsys.exe (Icon: grünes Männchen) die mit dem MSI-nVidia-Treiber installiert wird hat mit dem Virus nur eins gemeinsam... den Namen. Ansonsten ist die Datei ok

Die Datei, die auch als Prozess im Hintergrund läuft, ist für das MSI-Feature "D.O.T" Dynamic Overclocking Technology zuständig. Je nach Gebrauch wird damit die Taktrate der GPU bzw. des RAMS dynamisch angepasst.

Ich hatte im MSI-Forum mal ne Anleitung geschrieben, wie man D.O.T. in den jeweils aktuellen nVidia-Referenztreiber einbindet:

http://msi.designlab.info/thread.php?postid=78656#post78656

Gruss,
Micha / WildThing

 

hallo

@ TheDoctor

Mir ist es schon oft aufgefallen bei Windows XP.
Und man kann sie nicht so ohne weiteres deinstallieren, da sie nach dem einfachen löschen aus der Datei Driver.cab wieder geholt werden und im Verzeichnis dllcache abgelegt werden. Wenn man allerdings eine modifizierte Vollautomatische Installations CD hat tritt diese Besonderheit nicht auf. Ausserdem hatte ich einige Leute die mich gefragt haben , warum in ihrem "drivers" Verzeichnis Dateien stehen die mit ATI beginnen obwohl sie nie solche Karten benutzt haben. Darauf hin habe ich mir diese Dateien angesehen und bei "Eigenschaften ... Version " dieser Treiber stand dann ATi bla Bla oder Intel Grafik Driver blablup etc.
Dann habe ich per default CD XP hin und wieder installiert bei einigen und immer geprüft, ob das bei denen Auftritt. Und immer war es so.

mfg PcVertsteher

 

Ach so, bei XP.

Sorry, ich dachte du meinst alle Windows-Versionen.