Winreg.exe

Tschenger

Frisch registriert
Hallo zuerst mal.
Ich bin neu hier und grüsse euch.
Hoffentlich ist mein Posting hier an der richtigen Stelle.

Ich habe seit dem 27.09.01 ein Problem und ahne auch schon,nachdem ich mich hier etwas durchgelesen habe,wo es herkommen könnte.
Ich habe mich auf den sogenannten Fleischseiten herumgetrieben. "schäm"
Ich benutze den Firewall Zonealarm und der bringt seit diesem Datum jedesmal bei Einwahl ins Internet die Meldung,dass Winreg.exe eine Verbindung aufbauen möchte.
Kann mir jemand sagen,was hier passiert ist und was könnte sich hinter dieser Meldung verbergen?
Gruss
Tschenger
 

Heiko

root
Teammitglied
Hallo!

Sorry für meine ungewöhnlich lange Reaktionszeit. Ich bin an diesem Wochenende unterwegs und kommt selten dazu, ins Internet zu schauen. Meistens mache ich nur schnell einen Upload.

Zu Deinem Problem:
Gib mal bitte einige Rahmendaten. Welches Betriebssystem verwendest Du? Wo liegt die fragliche Datei genau? Im Zweifel: einfach an [email protected] schicken (am besten das Installationsprogramm komplett, zur Not auch nur die .exe oder den gesamen Ordner als ZIP). Ich schaus mir dann mal an.

Will die Datei eine Onlineverbindung aufbauen? Oder eine bestehende Internetverbindung für eigene Zwecke nutzen? Wohin will sie verbinden (Zieladresse).

Bis bald!



Heiko
 

Tschenger

Frisch registriert
Hallo Heiko,
danke für deine Antwort.

Die Datei will eine bestehende Internetverbindung für eigene Zwecke nutzen.
Die Meldung von Zonealarm kommt jedesmal,wenn ich ins Net gehe bzw. einige
Minuten schon drin bin.
Die Datei ist bei Windows angesiedelt,genauso wie die Datei wer.exe,die ich auch nicht kenne und sich auch in der Registry angesiedelt hat.
Ich benutze W 98 und den Internetexplorer 4.0
Wie kann ich die Datei zu dir schicken.Bitte erkläre mir die notwendigen Schritte.
Viele Grüsse
Tschenger
 

Heiko

root
Teammitglied
Nimm die beiden Dateien und schicke sie in einer E-Mail an [email protected].

Dann schau ich mal, ob ich Dir helfen kann...

Ich denke aber eher, daß es sich um ein Registrierungsprogramm irgendeiner Art handelt. Eine winreg.exe wird auch mit manchen 3com-Modems ausgeliefert.

<font size=-1>[ Diese Nachricht wurde ge&auml;ndert von: Heiko Rittelmeier am 2001-10-09 22:43 ]</font>
 

Tschenger

Frisch registriert
Hallo Heiko,
ich habe dir die Winreg Datei geschickt.
Die Meldung kommt aber erst seit dem 27.09.01 Vorher wußte ich gar nichts von dieser Datei.
Seit diesem Zeitpunkt spielt auch mein IE verrückt.
Jedesmal,wenn ich den PC neu starte,muss ich bei den Eigenschaften des IE auf Verbindungen gehen und jedesmal ist die Zeile -Keine Verbindungen wählen-
aktiviert,obwohl ich jedesmal die Standardverbindung übernehme.
War vorher auch nicht.
Viele Grüsse
Tschenger
 

Heiko

root
Teammitglied
Ich hab mir die Datei mal angeschaut und durch verschiedene Virenscanner geschickt. Zu finden war nix.

Ist gut möglich, daß die entweder durch ein Programm mitinstalliert wurde oder zu einem Phone-home-Programm gehört.

Evtl. auch zu Windows selbst.

Vielleicht weiß jemand anderes was dazu?
 

grimsby0703

Frisch registriert
hallo /forum/images/smiles/icon_smile.gif
ich weiss zwar nicht was sog. "Fleischseiten" sind und warum man(n) sich deswegen "schämen" muss, aber mich würde es interressieren, was es sich mit dieser win.reg datei endgültig auf sich hat.
Bei mir hat der IE auch immer gesponnen zusammen mit dem zonealarm- deswegen bin ich auch umgestiegen (lang lebe opera und möge er immer besser werden /forum/images/smiles/icon_smile.gif )
kannst Du mir auch noch sagen, wo genau sich die win.reg sich eingeschrieben bzw. befunden hat?

grüsse grimsby
 

Heiko

root
Teammitglied
Ich bin mir nicht sicher, ob Du das nicht was falsch verstanden hast.

win.reg wäre ein Registry-File

winreg.exe ist eine normale ausführbare Datei

Insofern weiß ich nicht, ob Ihr von der gleichen Datei redet...
 
A

Anonymous

Hi,
Nenne einfach diese Winreg.exe in Winreg.old um. Dann schau mal nach was passiert. Zusätzlich würde ich sie noch in Zonealarm sperren. Das ist das X unter Programs.
Wenn keines der Programme meckert, dann lösche die Datei und das Problem hat sich erledigt.

Evtl. kann man auch die Datei im Explorer anklicken (rechte Maustaste) und dann unter Eigenschaften evtl. sehen wohin die Datei gehört. Ich meine zu welchem Programm.

Gruß
Loddel
 

Tschenger

Frisch registriert
Hallo Leute,
Heiko,ich danke dir für deine Mühe.
Ich habe nach der Meldung von ZA mal auf Yes getippt,passiert ist aber nichts,zumindest konnte ich nix feststellen.
Die Datei hat sich in der Regitry eihgeschrieben und befindet sich im Windows Ordner.
Passiert ist das ganze wahrscheinllich am 27.09.,als ich mir ein Movie anschauen wollte.
Ich heabe dann genau den Fehler gemacht,den Heiko auf seinen Seiten beschrieben hat.
Ich habe die Datei nicht auf der Festplatte gespeichert,sonder von ihrem Ort geöffnet.
Gruss
Tschenger
 
A

Anonymous

Moin boardies,

ich habe ebenfalls in meiner winreg.exe gerade ein Trojanisches Pferd gefunden, welches NortenAV nicht reparieren kann, es liegt in c:/windows steht unter "run" in der registry (win98 ). Anscheinend soll es ein PWSteal.Trojan sein, alle anderen Aussagen gehen in Richtung AOL-Passwort-Dieb. Allerdings bin ich nicht bei AOL und mein Zone Alarm Pro hat auch nichts zu sagen gehabt.
Das Virus habe ich erst jetzt nach der Installation von NAV2002 gefunden (nicht mit im August geuppdateten NAV2000!).

Kurioserweise ist mir der registry-eintrag schon letzte woche aufgefallen und ich bin der Meinung, daß der Eintrag nicht dorthin gehört!

Ich hoffe, daß ich helfen konnte - ich nenne jetzt erstmal winreg.exe um und warte was passiert ....
 

Heiko

root
Teammitglied
Danke für die Info!

PWSteal.Trojan ist bei Symantec wohl ein allgemeiner Name für alle paßwortklauenden Schadprogramme.

Gabs noch eine genauere Erläuterung?
 
A

Anonymous

Moin

Erstmal die interessante Nachricht: ich habe winreg.exe nachdem ich den Rechner nur mit DOS-Eingabeauforderung gestartet habe umbenannt, Windows gestartet und keiner hat sich beschwert :smile:
Ich werde die entsprechenden registry-einträge demnächst auch löschen, wenn nichts mehr passiert.

Es gab tatsächlich noch genauere Informationen über das Virus (APStrojan.QA), welche allerdings nicht richtig waren, denn sie führten mich auf Symantecs Virenseite zu einem älteren Trojaner, welcher u.a. eine Datei msdos98.exe (und nicht winreg.exe - klingt aber ähnlich wichtig /forum/images/smiles/icon_smile.gif) installiert - das traf bei mir aber nicht zu.
Dort war auch eine Anleitung zum Selbstentfernen des Virus:

(http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=24770)
 

Tschenger

Frisch registriert
Hallo Leute,
ich habe gestern die winreg.exe gelöscht und auch die Registry-Einträge.
Bis jetzt läuft alles noch einwandfrei.
Auch am 27.09. wurde noch ca. 2 Minuten später als die winreg eine andere Datei Namens asfwin.sys erstellt.
Auch die habe ich gestern gelöscht.
Ich habe mir mal die Seiten von Symantec angeschaut,kann aber nicht viel damit anfangen,da mein Englisch sehr zu wünschen übrig lässt.
Gruus
Tschenger
 

ub40

Frisch registriert
Hallo zusammen,

bin auch neu hier und habe mir die Tage auch diese mysteriöse winreg.exe eingefangen.
Eurer Diskussion folgend, habe ich sie jetzt auch in *.old umgetauft. Bisher gab' es von keiner Seite "Beschwerden". Auch der ZoneAlarm gibt Ruhe.
Als Anfäger jetzt die Frage: In welcher Registry hat sich die winreg.exe eingetragen, wo finde ich diese und was muß ich löschen?

Danke für Eure Tips.

PS: Hat sich in Sachen Trojanische Pferd irgendetwas ergeben?
 

Tschenger

Frisch registriert
Hallo Leute,
bis jetzt läuft meine Kiste immer noch fehlerfrei.
Wenn du in der Registry bist,gehe oben links auf bearbeiten und dann auf suchen.
Dort gibst du dann winreg.exe ein.
Die Registry wird bei jedem Fund eine Meldung bringen.Suche solange weiter,bis die ganze Regitry abgesucht ist.
Dann müsste deine Kiste sauber sein.
Schau mal nach,wann deine winreg.exe erstellt wurde.Es kann sein,dass an diesem Tag auch noch die Datei,die ich auf der ersten Seite genannt habe,erstellt wurde.
Die Datei heißt asfwin.sys
Gruss
Tschenger
 
Oben