[WIN XP/Home Edition]

Hallo, heute morgen bekam ich folgende Fehlermeldung nachdem ich mit Ewido Security suite gescannt habe. U.a. wurden mir diese Dateien in Quarantäne gesetzt.

C:\Windows\System32\chkdsk.exe und
C:\Windows\System32\dllcache\chkdsk.exe

Ich habe sie gelöscht und - auch nicht daran gedacht, ob das nun richtig war oder nicht. Hatte die beiden auch nicht besonders beachtet, so dass ich nicht von einem evtl. Trojaner ausgegangen bin.

Danach habe ich weitergearbeitet und bekam folgende Fehlermeldung:

"Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen müssen wiederhergestellt werden, um die Systemstabilität zu gewährleisten. Legen Sie Ihre CD-ROM Home Edtition jetzt ein."

Gleichzeitig erscheint eine Meldung: "Sie müssen die Dateien nicht mit Ihrer Original-Version wiederherstellen. Dies kann die Stabilität von Windows jedoch beeinträchtigen. Sind Sie sicher, dass Sie diese unbekannte Dateiversion behalten möchten?"

Ich bin sehr mißtrauisch bei Vorschlägen mit Neuinstallationen. Daher habe ich den PC runtergefahren, wieder hoch und die Meldungen sind nicht mehr wiedergekommen.

Die exe war wieder in dem Ordner System32 - wo sie vorher verschwunden war.

Es hat mir keine Ruhe gelassen und ich habe noch einmal in Ewido nachgesehen und dort standen beide einträchtig untereinander unter der Überschrift: Infiziert mit: Spyware.PurityScan.aa

Jetzt habe ich einen escan gemacht - wie hier bereits gelernt ;-) - und folgendes Ergebnis bekommen:

MWAV.LOG = Ergebnis
Fri Feb 18 00:35:54 2005 => Total Disinfected Files: 0

Fri Feb 18 00:26:59 2005 => File D:\Eigene Dateien\Spiele\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

Mon Feb 28 21:55:54 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 18 00:25:01 2005 => File D:\Eigene Dateien\Software\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Feb 18 00:24:15 2005 => File D:\Eigene Dateien\Software\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Feb 18 00:16:24 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Steckbrief.exe tagged as not-a-virus:Joke.Win32.Langeweile. No Action Taken.

Fri Feb 18 00:16:23 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Schaf.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

Fri Feb 18 00:15:47 2005 => File D:\Eigene Dateien\Downloads ZIP\Audiograbber.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Feb 17 23:57:32 2005 => File C:\RECYCLER\S-1-5-21-117609710-1284227242-725345543-1004\Dc213\SMONEY40 (F)\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Feb 17 23:02:59 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Unter Start > Ausführen > regedit > F3 nachfolgende Anlage:

Obwohl die Anlage in 37,6 KB hochgeladen wurde, wird sie nur in Mini gezeigt? Dort ist nichts besonderes zu sehen - nur die C:\Windows\System32\chkdsk.exe ist dort aufgeführt - alles andere harmlos

Allerdings habe ich in der regedit wieder die exen drin (u.a. Schaf), die ich beim letzten Mal gelöscht habe - wie das?

Meine Frage lautet nun: Soll ich diese beiden Dateien in der Quarantäne löschen oder nicht?

Danke im voraus...Rosalina

Hallo,
den Quarantäne-Ordner kannst Du leeren.

Die restlichen Funde sind nach wie vor i.O.

Zur Anlage:
Das sieht aus wie eine MRU-Liste, also z.B. gespeicherte Einträge der Suche (die exe-Dateien sind weg, aber Deine Suche nach diesen hat Windows in der Registry gespeichert). Wie Du sicher weisst, Windows speichert alles....

Zitat:

Zitat von Feierfox

Hallo,
den Quarantäne-Ordner kannst Du leeren. Die restlichen Funde sind nach wie vor i.O.
Zur Anlage:
Das sieht aus wie eine MRU-Liste, also z.B. gespeicherte Einträge der Suche. Wie Du sicher weisst, Windows speichert alles....

Danke Firefox,
das heißt, dann passiert nichts im System? Diese Exe ist - so wie ich herausgefunden habe - für die Überprüfung der Festplatte zuständig!

Ich warte auf Dein Kommando, erst dann lösche ich. Ich danke Dir. Du siehst, ich habe allerhand bei meinem vorigen Post gelernt! *Protz*

Gruß Rosalina

PS: Ich Dummkopf, die Anlage muss nur angeklickt werden.

Richtig, genau dafür ist sie gedacht. Anscheinend hat sich ja Windows "selbst repariert".

Doch, da die Dateien ja wieder erstellt wurden, kannst Du den Quarantäne-Ordner leeren.

So soll es sein, dass man von hier ein klein wenig "mitnimmt".
Und, dass mit der Anlage hast Du ja auch noch hinbekommen. *grins*