Wofür ist winsvc16.exe zuständig ??

    Hallo an alle,
    ich möchte gerne wissen wofür die winsvc16.exe zuständig ist.
    Sie wird mir öfters von meiner Firewall anzeigt und möchte eine Vebindung zu einer Webseite.
    Ich blockiere aber diese Datei da ich nicht weiss wofür sie ist.
    Kann mir jemand die Fragen beantworten?

    Wurmalarm !


    winsvc16.exe ist in Wirklichkeit der Wurm W32/Sdbot-O , auch als Backdoor.SdBot.gen bekannt ! Hier mal seine "Biografie :


    W32/Sdbot-O
    Alias
    Backdoor.SdBot.gen

    Typ
    Win32-Wurm

    Erkennung
    Eine Virenkennungsdatei soll in Antivierenprogrammen ist zur Zeit nicht verfügbar ! Lediglich die Datei als solche wird erkannt.

    Erläuterung
    W32/SdBot-O ist ein Wurm, der versucht, sich auf IPC$-, C- und C$-Netzwerkfreigaben mit einfachen oder gar keinen Kennwörtern zu kopieren. Der Wurm ermöglicht außerdem unbefugten Fernzugriff auf den Computer via IRC-Kanälen.


    W32/SdBot-O kopiert sich als winsvc.exe in den Windows-Systemordner und fügt folgende Einträge zur Registrierung hinzu, so dass er beim Systemneustart aktiviert wird:


    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    \Generic Host Process for Win32 Services
    = C:\<Windows system>\winsvc.exe


    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    \Generic Host Process for Win32 Services
    =C:\<Windows system>\winsvc.exe


    Der Wurm versucht außerdem, eine Datei namens SVCHOST32.EXE im Windows-Systemordner abzulegen. Bei dieser Datei handelt es sich um ein legales Netzwerk-Dienstprogramm namens PSEXEC.


    W32/SdBot-O legt dann die folgenden BAT-Dateien ab, um sich mit Hilfe von PSEXEC auf remote Freigaben zu kopieren:


    C:\<Windows system32>/RUNTIME.BAT
    C:\<Windows temp>/B.BAT


    Der Wurm versucht dann, sich mit einem bestimmten IRC-Kanal zu verbinden, und wartet auf Anweisungen des remoten Eindringlings.

    ----------------------------------------------------------------------------
    Reparatur und Entfernung des Wurmes :
    -Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk


    -Sie müssen die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind.


    -Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.


    -Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


    -Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:


    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    \Generic Host Process for Win32 Services
    = C:\<Windows system>\winsvc.exe


    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    \Generic Host Process for Win32 Services
    =C:\<Windows system>\winsvc.exe


    Löschen Sie diese Einträge, sofern sie existieren.


    -Schließen Sie den Registrierungseditor.


    MfG

    Dank dir winbooster.
    Ich hatte mir schon sowas gedacht, aber leider wusste ich nicht wo ich suchen sollte.



    Zitat

    -Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:


    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    \Generic Host Process for Win32 Services
    = C:\<Windows system>\winsvc.exe


    Den ersten Eintrag habe ich nicht gefunden.


    Zitat

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    \Generic Host Process for Win32 Services
    =C:\<Windows system>\winsvc.exe


    Diesen hab ich gefunden und gelöscht ich hoffe das war es.