|
Log-Analyse und Auswertung: WIN-Dateien mit unbekannter Version ersetztWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.02.2005, 23:42 | #1 |
| WIN-Dateien mit unbekannter Version ersetzt [WIN XP/Home Edition] Hallo, heute morgen bekam ich folgende Fehlermeldung nachdem ich mit Ewido Security suite gescannt habe. U.a. wurden mir diese Dateien in Quarantäne gesetzt. C:\Windows\System32\chkdsk.exe und C:\Windows\System32\dllcache\chkdsk.exe Ich habe sie gelöscht und - auch nicht daran gedacht, ob das nun richtig war oder nicht. Hatte die beiden auch nicht besonders beachtet, so dass ich nicht von einem evtl. Trojaner ausgegangen bin. Danach habe ich weitergearbeitet und bekam folgende Fehlermeldung: "Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen müssen wiederhergestellt werden, um die Systemstabilität zu gewährleisten. Legen Sie Ihre CD-ROM Home Edtition jetzt ein." Gleichzeitig erscheint eine Meldung: "Sie müssen die Dateien nicht mit Ihrer Original-Version wiederherstellen. Dies kann die Stabilität von Windows jedoch beeinträchtigen. Sind Sie sicher, dass Sie diese unbekannte Dateiversion behalten möchten?" Ich bin sehr mißtrauisch bei Vorschlägen mit Neuinstallationen. Daher habe ich den PC runtergefahren, wieder hoch und die Meldungen sind nicht mehr wiedergekommen. Die exe war wieder in dem Ordner System32 - wo sie vorher verschwunden war. Es hat mir keine Ruhe gelassen und ich habe noch einmal in Ewido nachgesehen und dort standen beide einträchtig untereinander unter der Überschrift: Infiziert mit: Spyware.PurityScan.aa Jetzt habe ich einen escan gemacht - wie hier bereits gelernt ;-) - und folgendes Ergebnis bekommen: MWAV.LOG = Ergebnis Fri Feb 18 00:35:54 2005 => Total Disinfected Files: 0 Fri Feb 18 00:26:59 2005 => File D:\Eigene Dateien\Spiele\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. Mon Feb 28 21:55:54 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 18 00:25:01 2005 => File D:\Eigene Dateien\Software\ioware-w32-x86-402.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Feb 18 00:24:15 2005 => File D:\Eigene Dateien\Software\agfreesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Feb 18 00:16:24 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Steckbrief.exe tagged as not-a-virus:Joke.Win32.Langeweile. No Action Taken. Fri Feb 18 00:16:23 2005 => File D:\Eigene Dateien\E-Mail Anlagen\Schaf.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. Fri Feb 18 00:15:47 2005 => File D:\Eigene Dateien\Downloads ZIP\Audiograbber.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Feb 17 23:57:32 2005 => File C:\RECYCLER\S-1-5-21-117609710-1284227242-725345543-1004\Dc213\SMONEY40 (F)\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Feb 17 23:02:59 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Unter Start > Ausführen > regedit > F3 nachfolgende Anlage: Obwohl die Anlage in 37,6 KB hochgeladen wurde, wird sie nur in Mini gezeigt? Dort ist nichts besonderes zu sehen - nur die C:\Windows\System32\chkdsk.exe ist dort aufgeführt - alles andere harmlos Allerdings habe ich in der regedit wieder die exen drin (u.a. Schaf), die ich beim letzten Mal gelöscht habe - wie das? Meine Frage lautet nun: Soll ich diese beiden Dateien in der Quarantäne löschen oder nicht? Danke im voraus...Rosalina Geändert von Rosalina (28.02.2005 um 23:57 Uhr) |
28.02.2005, 23:55 | #2 |
| WIN-Dateien mit unbekannter Version ersetzt Hallo,
__________________den Quarantäne-Ordner kannst Du leeren. Die restlichen Funde sind nach wie vor i.O. Zur Anlage: Das sieht aus wie eine MRU-Liste, also z.B. gespeicherte Einträge der Suche (die exe-Dateien sind weg, aber Deine Suche nach diesen hat Windows in der Registry gespeichert). Wie Du sicher weisst, Windows speichert alles....
__________________ Geändert von Feierfox (01.03.2005 um 00:03 Uhr) |
01.03.2005, 00:02 | #3 | |
| WIN-Dateien mit unbekannter Version ersetztZitat:
das heißt, dann passiert nichts im System? Diese Exe ist - so wie ich herausgefunden habe - für die Überprüfung der Festplatte zuständig! Ich warte auf Dein Kommando, erst dann lösche ich. Ich danke Dir. Du siehst, ich habe allerhand bei meinem vorigen Post gelernt! *Protz* Gruß Rosalina PS: Ich Dummkopf, die Anlage muss nur angeklickt werden. |
01.03.2005, 00:07 | #4 |
| WIN-Dateien mit unbekannter Version ersetzt Richtig, genau dafür ist sie gedacht. Anscheinend hat sich ja Windows "selbst repariert". Doch, da die Dateien ja wieder erstellt wurden, kannst Du den Quarantäne-Ordner leeren. So soll es sein, dass man von hier ein klein wenig "mitnimmt". Und, dass mit der Anlage hast Du ja auch noch hinbekommen. *grins*
__________________ Gruß Andy __________________ |
Themen zu WIN-Dateien mit unbekannter Version ersetzt |
anlage, cd-rom, dateien, dllcache, e-mail, e-mail anlage, ergebnis, fehlermeldung, folge, frage, gelöscht, infiziert, löschen, nicht mehr, not-a-virus, ordner, quara, recycler, regedit, security, security suite, software, spiele, start, system, system32, trojaner, vorschläge, windows |