669 Benutzer online
24. November 2024, 19:13:54

Windows Community



Zum Thema SysWow64 öffnet sich! Hilfe! - Hallo zusammen,bei meinem neuem Läppi öffnet sich nach jedem Booten jedesmal ein Ordner mit Namen: SysWow64!Was bitte ist das und warum startet/öffnet sich dies... im Bereich Windows 7 Forum
Autor Thema:

SysWow64 öffnet sich! Hilfe!

 (Antworten: 35, Gelesen 21397 mal)

  • Windows 2.0
  • Beiträge: 32
SysWow64 öffnet sich! Hilfe!
« am: 13. Januar 2010, 06:49:44 »
Hallo zusammen,
bei meinem neuem Läppi öffnet sich nach jedem Booten jedesmal ein Ordner mit Namen: SysWow64!

Was bitte ist das und warum startet/öffnet sich dieser Ordner bei jedem Booten?
Im Autostart habe ich nichts drin...was kann das also sein und wie stelle ich das ab?

Danke für eute hilfreichen Tipps im Voraus!

(auto)bot

  • go-windows.de
  • Global Moderator
  • Windows Vista
  • Beiträge: 9384
« Antwort #1 am: 13. Januar 2010, 10:59:54 »
Hallo Rieselrass,......:bigwelcome

Starte mal msconfig (Start -> msconfig in das Suchfeld eingeben) und wechsle dort zum Reiter 'Systemstart'
Entweder machst Du davon einen Screenshot und hängst ihn hier an, oder Du deaktivierst erstmal (fast) alles und überprüfst durch einen Neustart ob sich der Übeltäter dort versteckt.

Lade Dir mal HJT ( http://www.hijackthis.de/downloads/HJTInstall.exe ) runter und poste uns das LogFile.

  • Windows 2.0
  • Beiträge: 32
« Antwort #2 am: 13. Januar 2010, 15:17:53 »
Hallo,

das habe ich schon mal gemacht mit den Haken alles raus...keine Änderung!

  • go-windows.de
  • Global Moderator
  • Windows Vista
  • Beiträge: 9384
« Antwort #3 am: 13. Januar 2010, 15:35:10 »
Und was ist mit HiJackThis?

  • Windows 2.0
  • Beiträge: 32
« Antwort #4 am: 13. Januar 2010, 15:40:31 »
Kann ich erst machen, wenn ich am Läppi sitze.
Was genau ist denn dieses Hijack?

  • go-windows.de
  • Global Moderator
  • Windows Vista
  • Beiträge: 9384
Re: SysWow64 öffnet sich! Hilfe!
« Antwort #5 am: 13. Januar 2010, 20:53:23 »
Zitat
Mit Hilfe von HijackThis ist es möglich schädliche Eintragungen auf Ihrem Rechner zu finden und zu beheben.
Dazu werden spezielle Bereiche in der Registrierung und der Festplatte durchsucht und mit den Standardeinstellungen verglichen. Wird eine Abweichung festgestellt, so wird diese in einem Protokoll (Logfile) angezeigt. Um festzustellen, ob ein Eintrag schädlich ist oder bewusst vom Benutzer oder einer Software installiert worden ist benötigt man einige Hintergrundinformationen.
Ein Logfile ist oft auch für einen erfahrenen Anwender nicht so einfach auszuwerten. Mit Hilfe dieser automatischen Auswertung soll der Benutzer bei der Auswertung unterstützt werden. Kopieren Sie dazu einfach den Inhalt Ihres Logfiles in die untenstehende Textbox.

Quelle: http://www.hijackthis.de/

  • Windows 2.0
  • Beiträge: 32
« Antwort #6 am: 14. Januar 2010, 05:50:31 »
So, hier mein Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:40:48, on 14.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\NoPopUp 2003\nopopup.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PcSync2.exe
C:\Program Files (x86)\IncrediMail\bin\ImApp.exe
C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
C:\Program Files (x86)\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Program Files (x86)\HiYo\Bin\HiYo.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8735&r=27361209l326l0328z175t6821y31q
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=334070
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8735&r=27361209l326l0328z175t6821y31q
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_8735&r=27361209l326l0328z175t6821y31q
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\IPSBHO.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Hiyo] C:\Program Files (x86)\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKCU\..\Run: [NoPopUp] C:\Program Files (x86)\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~2\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\coIEPlg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Program Files (x86)\Norton 360\Engine\3.5.2.11\ccSvcHst.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10031 bytes


Ich hoffe, dass mir jetzt einer helfen kann?

  • FPS Fetischist ;)
  • Windows Me
  • Beiträge: 1029
« Antwort #7 am: 14. Januar 2010, 20:13:46 »
File Behavior

HIYO.EXE has been seen to perform the following behavior:

    * The Process is packed and/or encrypted using a software packing process
    * Terminates Processes
    * Executes a Process
    * Registers a Dynamic Link Library File
    * Adds products to the system registry
    * This Process Deletes Other Processes From Disk
    * Can communicate with other computer systems using HTTP protocols
    * Writes to another Process's Virtual Memory (Process Hijacking)

HIYO.EXE has been the subject of the following behavior:

    * Added as a Registry auto start to load Program on Boot up
    * Created as a process on disk
    * Executed as a Process
    * Terminated as a Process
    * Deleted as a process from disk
    * Has code inserted into its Virtual Memory space by other programs


dein rechner hat malware befall ;)
« Letzte Änderung: 14. Januar 2010, 20:15:24 von Supreme »
meinpc - go-windows.de
Powered by Windows 7 => www.go-windows.de & www.mein-pc.eu

  • go-windows.de
  • Global Moderator
  • Windows Vista
  • Beiträge: 9384
« Antwort #8 am: 14. Januar 2010, 21:16:44 »
Überprüfe mal die Registry nach syswow64. Wenn sich die Bezeichnung in den Start--Ordnern (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Windows\ Run oder HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ Run) befindet, solltest Du den Eintrag löschen.
Vorher selbstverständlich eine Datensicherung machen!

Schau Dir mal die Ordnereigenschaften an. (Siehe Screenshot)

Aber vorher solltest Du Dich um die Malware kümmern. :D

  • Windows 2.0
  • Beiträge: 32
« Antwort #9 am: 15. Januar 2010, 05:54:10 »
Also in der Registry habe ich in beiden Fällen diesen Eintrag nicht!
Habe das Häkchen gesetzt mit dem Ordner laut Screenshot. War das so richtig? Oder soll da kein Häkchen rein?
Malware? Welche soll das sein? Habe Norton als Schutz und der meldet mir nichts!

  • News-Redakteur
  • Windows XP
  • Beiträge: 5001
Re: SysWow64 öffnet sich! Hilfe!
« Antwort #10 am: 15. Januar 2010, 08:35:21 »
Zitat
Malware? Welche soll das sein?
Laß doch mal "Malwarebytes" drüber laufen, vgl.:
http://www.malwarebytes.org/

Zitat
Im Autostart habe ich nichts drin
Irgendetwas muß das sein, sonst würde es ja nicht starten. Du solltest in "Autostart" mal alles deaktivieren und dann nach und nach wieder aktivieren um dem Übeltäter auf die Spur zu kommen...
« Letzte Änderung: 15. Januar 2010, 08:38:23 von Noone »

  • go-windows.de
  • Global Moderator
  • Windows Vista
  • Beiträge: 9384
« Antwort #11 am: 15. Januar 2010, 09:49:50 »
Das Häkchen sollte da eigentlich nicht rein, also wieder deaktivieren.
Befand sich syswow64 irgendwo anders in der Registry? Wenn ja, wo bitte?

  • Team
  • Windows XP
  • Beiträge: 7095
  • Dumme Fragen / Dumme Antworten
« Antwort #12 am: 15. Januar 2010, 13:46:19 »
Das Häkchen sollte da eigentlich nicht rein, also wieder deaktivieren.
Befand sich syswow64 irgendwo anders in der Registry? Wenn ja, wo bitte?

laß den mal scannen : http://www.eset.de/

Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
« Letzte Änderung: 15. Januar 2010, 13:49:51 von Pebro1 »

  • Windows 3.11
  • Beiträge: 237
  • Fear, of course I fear the unknown...
« Antwort #13 am: 15. Januar 2010, 14:14:18 »
Zitat
Malware? Welche soll das sein?
Laß doch mal "Malwarebytes" drüber laufen, vgl.:
http://www.malwarebytes.org/

Kleine Anmerkung: Hab Norton Internet Security 2010 drauf und zusätzlich Spybot. Beide haben auf meinem System nie was gefunden, Malwarebytes fand direkt 3 infizierte Registry-Einträge!

  • Windows 2.0
  • Beiträge: 32
« Antwort #14 am: 15. Januar 2010, 15:17:00 »
Das Häkchen sollte da eigentlich nicht rein, also wieder deaktivieren.
Befand sich syswow64 irgendwo anders in der Registry? Wenn ja, wo bitte?


Ich hatte doch geschrieben, dass im Autostart NICHTS drin ist! Was also soll ich da entfernen?
Und nein, in der Registry ist kein Eintrag von Syswo!

vista windows pro exe startet programme neustart weg treiber www
sys forum dateien media center system rechner installieren geht win