winserv32.exe sendet volle Wäsch !

Kasikes · 09.01.2005, 15:51

Hi @all!

Mein Norton hat auf einmal andauernd Zugriffsversuche blockiert.
Rätselhafterweise von IP: 0.0.0.0

Und das Surfen ging uuur langsam.

Habe ich mal geguckt und bin draufgekommen, dass der Prozess winserv32.exe (nicht winsrv32.exe !) andauernd sendet (ca.10kb/s)

Beendet man den Prozess ist er sofort unter einer anderen PID wieder da.

Habe dann in der MSConfig-Systemstart das hackerl weggenommen.

Neustart--> Prozess ist wieder da

sendet aber nicht mehr.

Ad-Aware und SpybotS&D haben diesbezüglich nix gefunden.

Was ist dieses Ding? - Google weiss auch nix

Ausserdem sperrt der Norton im 1min Takt, dass ipconfig.exe auf alle Norton-Prozesse zugreifen will (lt. Protokoll) - auch sehr rätselhaft für mich, weil ipconfig läuft nicht

Na denne bitte um ein paar Antworten.

Kasikes · 09.01.2005, 16:22

jetzt habe ich den Eintrag winserv32.exe 2x in der msconfig stehen

wer schreibt dies dort rein

Und der emule geht jetzt auch nicht mehr (LowID) vorher no problems.

flinx · 09.01.2005, 16:31

Versuch mal in den abgesicherten Modus zu booten und von dort einen Virenscan (mit neuesten Definitionsfiles) zu starten.

Takahashi · 09.01.2005, 16:45

netter wurm den ihr euch da eingefangen habt

das mit der ip 0.0.0.0 bedeutet, dass er bei dir lokal nen server erzeugt und durchgehend broadcasts raussendet.

hatte das auch mal. hab formatiert und die welt sah gleich besser aus

JTK · 18.01.2005, 21:09

unter http://www.sophos.de/virusinfo/analyses/trojjsurfa.html und Wiederherstellung findest vielleicht was dir weitherelfen kann

Kontokali · 19.01.2005, 07:05

Geht auch mit 'Kaspersky' zu entfernen....

Kasikes · 19.01.2005, 18:32

@jtk

da wird die Entfernung von winsrv32.exe erklärt, aber nicht von winserv32.exe !

Weitere Vorschläge ?

Wurzel · 20.01.2005, 13:42

Scheint was Böses zu sein.

Im abgesicherten Modus starten,
WinServ32.exe entfernen (Verzeichnis system32). Neuestes Antivirenupdate implementieren und scannen lassen.

09.01.2005, 15:51	#1
Kasikes Senior Member Registriert seit: 09.07.2000 Alter: 51 Beiträge: 155	winserv32.exe sendet volle Wäsch ! Hi @all! Mein Norton hat auf einmal andauernd Zugriffsversuche blockiert. Rätselhafterweise von IP: 0.0.0.0 Und das Surfen ging uuur langsam. Habe ich mal geguckt und bin draufgekommen, dass der Prozess winserv32.exe (nicht winsrv32.exe !) andauernd sendet (ca.10kb/s) Beendet man den Prozess ist er sofort unter einer anderen PID wieder da. Habe dann in der MSConfig-Systemstart das hackerl weggenommen. Neustart--> Prozess ist wieder da sendet aber nicht mehr. Ad-Aware und SpybotS&D haben diesbezüglich nix gefunden. Was ist dieses Ding? - Google weiss auch nix Ausserdem sperrt der Norton im 1min Takt, dass ipconfig.exe auf alle Norton-Prozesse zugreifen will (lt. Protokoll) - auch sehr rätselhaft für mich, weil ipconfig läuft nicht Na denne bitte um ein paar Antworten. ____________________________________ MfG K@sikes --------------------------------------------------------------------------------- Wissen ist Macht ... ich weiß nichts ............. macht nichts ---------------------------------------------------------------------------------

09.01.2005, 16:22	#2
Kasikes Senior Member Registriert seit: 09.07.2000 Alter: 51 Beiträge: 155	update jetzt habe ich den Eintrag winserv32.exe 2x in der msconfig stehen wer schreibt dies dort rein Und der emule geht jetzt auch nicht mehr (LowID) vorher no problems. ____________________________________ MfG K@sikes --------------------------------------------------------------------------------- Wissen ist Macht ... ich weiß nichts ............. macht nichts ---------------------------------------------------------------------------------

09.01.2005, 16:45	#4
Takahashi Newbie Registriert seit: 08.01.2005 Beiträge: 9	netter wurm den ihr euch da eingefangen habt das mit der ip 0.0.0.0 bedeutet, dass er bei dir lokal nen server erzeugt und durchgehend broadcasts raussendet. hatte das auch mal. hab formatiert und die welt sah gleich besser aus ____________________________________ real programmers do not comment their code, because only they know how hard it is to write

18.01.2005, 21:09	#5
JTK Veteran Registriert seit: 28.12.2001 Alter: 44 Beiträge: 367	unter http://www.sophos.de/virusinfo/analyses/trojjsurfa.html und Wiederherstellung findest vielleicht was dir weitherelfen kann ____________________________________ mfg JTK

19.01.2005, 07:05	#6
Kontokali Master Registriert seit: 18.06.2003 Ort: Wien Beiträge: 605	Geht auch mit 'Kaspersky' zu entfernen.... ____________________________________ mfg Kontokali

09.01.2005, 16:31	#3
flinx Inventar Registriert seit: 08.04.2001 Beiträge: 3.101	Versuch mal in den abgesicherten Modus zu booten und von dort einen Virenscan (mit neuesten Definitionsfiles) zu starten.

19.01.2005, 18:32	#7
Kasikes Senior Member Registriert seit: 09.07.2000 Alter: 51 Beiträge: 155	@jtk da wird die Entfernung von winsrv32.exe erklärt, aber nicht von winserv32.exe ! Weitere Vorschläge ? ____________________________________ MfG K@sikes --------------------------------------------------------------------------------- Wissen ist Macht ... ich weiß nichts ............. macht nichts ---------------------------------------------------------------------------------

20.01.2005, 13:42	#8
Wurzel Senior Member Registriert seit: 14.10.2004 Alter: 64 Beiträge: 122	Scheint was Böses zu sein. Im abgesicherten Modus starten, WinServ32.exe entfernen (Verzeichnis system32). Neuestes Antivirenupdate implementieren und scannen lassen.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)