explorer.exe hat ein Problem festgestellt und muss beendet werden

#1 Hallo zusammen, schön habt ihr zu meinem Thread gefunden!

Ich bin zum ersten Mal hier und weiss nicht genau, ob ich im richtigen Bereich schreibe.

Nun zu meinem Problem...

Bei mir kommt jedesmal die Fehlermeldung: "explorer.exe hat ein Problem festgestellt und muss beendet werden.", wenn ich auf verschiedene Dateien auf meiner Festplatte G zugreife.
Vor kurzem, als ich noch kein SP2 auf meinem System hatte, kam die Fehlermeldung auch, wenn ich ein Bild in Photoshop bearbeiten wollte. Jetzt ist es nur noch schlimmer, denn es schliesst sich nun von alleine.
Ich habe leider keine Ahnung, was ich machen kann. Ihr seid meine letzte Hoffnung.
Was mir aufgefallen ist, dass die Datei "svchost.exe" manchmal höher ist, als der explorer selber...
Ich poste am besten mal mein Hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 22:55:20, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\WinSys.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Vbox\Common\vboxm.dll
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Fabio\LOKALE~1\Temp\Rar$EX00.376\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Rainlendar] C:\Programme\Rainlendar\Rainlendar.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\system32\WinSys.exe
O4 - HKCU\..\Run: [Y'Z Docklet] C:\Programme\Y'z Dock 0.8.3\YzDock.exe
O4 - HKCU\..\Run: [Samurize] C:\Programme\Samurize\Client.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120351838015
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Ok, noch mein System:

Intel Pentium 4 CPU 2.8 GHZ
1024 MB-Ram (38% schon verwendet, obwohl ich fast kein Programm am laufen habe. Ist das normal?)
Nvidia Geforce Fx5600xt
1280x1024 bei 32 Bit Farbtiefe


Also noch einmal, tut mir leid, falls ich hier völlig falsch bin und ihr jetzt denkt "Boahh, was will der denn jetzt?!"...

Gruss und Danke schon mal im Voraus


D4n

#2 Dein Problem lautet WinSys bzw. eine Version des Rbot-Wurmes.

Gehe zu http://www.virustotal.com und lasse dort die winsys.exe überprüfen. Wir müssen genau wissen, um welche Version es sich handelt, denn die scheinen doch etwas unterschiedlich zu sein...

Lade das Programm Killbox herunter und entpacke es.

Edit: Ich hab's mal überlegt, das muss anders angegriffen werden...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Irgendwie durchsucht es die Datei jetzt seit einer halben Stunde und er ist immer noch nicht fertig

Das kann doch nicht normal sein, oder?


P.S. Danke für die schnelle Antwort!

#4 Na ja, es dauert zwar ein weilchen, aber so lange sollte es nicht dauern. Probier alternativ nochmal http://virusscan.jotti.org/de/
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Habs mit FF versucht und es hat gleicht funktioniert




Doch kein Virus

#6 C:\WINDOWS\System32\WinSys.exe
Laufender Prozess. (WinSys.exe)
O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe

Added as a result of the BEAGLE.K WORM!

Removaltool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ok danke viel mal

Probiere ich gleich mal aus...

#8

Zitat

d4n postete
Ok danke viel mal

Probiere ich gleich mal aus...

berichte dann, ob was geloescht wurde (die WinSys.exe insteressiert mich auch )
__________
MfG Sabina

rund um die PC-Sicherheit

#9 W32.Beagle, Trojan. Tooso has not been found on your computer.


Dann muss das Problem wohl woanders liegen

#10 dann musst du onlinescans machen....vielleicht findet inzwischen ein Virenscanner etwas

http://virus-protect.org/onlinescan.html

Wenn dann definitv Viren ausgeschlossen sind, muss man sich der Software zuwenden.
Gerade, weil der Fehler auftritt, wenn du z.B. ein photo berbeitest.

Was sagt denn die Protokolldatei unter

Start - Einstellungen - Systemsteuerung - Verwaltung - Ereignisanzeige

Hier prüfe auffällige Meldungen unter Anwendung und System. (du kannst es auch abkopieren und hier posten...ich bin aber kein Spezialist auf diesem Gebiet.....)

Dann deaktiviere "Automatisch Neustart durchführen" unter Arbeitsplatz Eigenschaften - Erweitert - "Starten und Wiederherstellen" - Einstellungen, und poste einen eventuellen Bluescreen.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Kannst Du mir die winsys.exe mal an virus[at]arko-websolutions.de schicken?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#12 Fehlgeschlagene Anwendung photoshop.exe, Version 0.0.0.0, fehlgeschlagenes Modul photoshop.exe, Version 0.0.0.0, Fehleradresse 0x009521bd.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.2180, fehlgeschlagenes Modul xvid.dll, Version 0.0.0.0, Fehleradresse 0x00037f60.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.



Das sind zwei typische Fehler, die ich aus der Ereignisanzeige habe.

Werde ein Online-Check gleich durchführen...

Automatisches herunterfahren war schon deaktiviert. Ein Blue-Screen hatte ich bisher aber noch nicht.

@Managor => Die Datei habe ich dir geschickt, danke!

#13 Ok, es handelt sich um diese Datei:
http://www.file.net/process/winsys.exe.html

[...] ist für das MSI-Feature "D.O.T" (Dynamic Overclocking Technology) zuständig. Je nach Gebrauch wird damit die Taktrate der GPU bzw. des RAM'S dynamisch angepasst. Das Icon ist ein grünes Männchen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#14 Heisst das jetzt, dass meine Grafikkarte kaputt ist?!


Ich habe zwar damit gerrechnet, dass etwas kaputt gehen kann, aber was hat das mit Photoshop zu tun?


Merci beaucoup jedenfalls!

#15 Nein, das Problem liegt also woander. Ich würde einfach mal folgendes machen:

Start -> Ausführen -> "sfc /scannow" (ohne Anführungszeichen). Die Windows-CD sollte dabei eingelegt sein.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser