Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

winsys32.exe läßt sich nicht entfernen





Frage

hallo, die datei winsys32.exe soll ja zu einem wurm gehören. trotz scanning mit norton antivirus 2004 und antivir ist sie nach jedem neustart im taskmanager zu sehen. taskmanager und msconfig sind auch nicht mehr ausführbar, bzw. nach aufruf nur für etwa eine sekunde auf dem bildschirm zu sehen. bleibt mir nur die neuinstallation von xp?

Antwort 1 von Mickey

Alle Aktionen bei deaktivierter Systemwiederherstellung und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©


Antwort 2 von gnolf

Erstmal Ruhe bewahren und nicht gleich neu installieren...

Vielleicht hilft dir das:

"Backdoor.Agobot.HN

Alias: W32/Agobot-HN, Backdoor.Agobot.qr, W32/Polybot.gen!irc, W32.HLLW.Gaobot.gen,
WORM_AGOBOT.GEN

Backdoor.Agobot.HN ist ein Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich der
Backdoor.Agobot.HN als winsys32.exe in den Windows-Systemordner.

Folgende Registrierungseinträge werden erstellt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loadr
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loadr

Backdoor.Agobot.HN beendet bzw. deaktiviert Antivirenprogramme und sammelt Key-Wörter
von Spielen.

Ebenfalls kann eine Textdatei namens HOSTS in C:\\drivers\etc
angelegt werden. Diese enthält Namen von Antiviren- und anderen Sicherheits-Websites,
die mit der IP-Adresse 127.0.0.1 verknüpft sind und dadurch der Zugriff auf diese Webseiten
unmöglich gemacht werden.


Entfernung:

Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loadr
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loadr

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor."

Quelle: http://www.datencrash24.de/virus-backdoor.agobot.hn-virus.html

Antwort 3 von klöpoi

Hab dasselbe problem aber mit runddl32 ist das der selbe wurm un dmuss ich dasselbe machen wie oben genannt

Antwort 4 von klöpoi

könntest du das vielleicht etwas genauer erklären ...