Hallo zusammen,

ich habe vielleicht ein Problem mit meinem Rechner. Mir sind heute zwei sonderbare Dinge aufgefallen:

1. fsagt mein Firewall andauernd, dass ein Prozess "Verify Class ID" von irgendwelchen Programmen gestartet werden will (einmal von AdAware und einmal von einem Prozess namens WMD oder so ähnlich - habe vergessen Screenshot zu machen). Dieser Verify Class ID ist di Datei verclsid.exe im Ordner system32 im WINDOWS Ordner (Betriebssystem ist WinXP-Home). Ein Sacn dieser Datei bei virustotal.com ergab keine Befunde.

2. Mein AVG Antivirusprogramm zeigt bei einem kompletten Systemscan am Anfang bei der Datei unter "Result/Infection" das Ergebnis "Change" an, während alle anderen aktiven Prozesse - die bei jedem Systemscan am Anfang überprüft werden - "OK" als Result steht.

Hat das etwas zu bedeuten? Kann damit jemand was anfangen? Sollte ich meine Platte formatieren?

Eine automatische Auswertung des HJT-Logs ergab, dass alle Prozesse als "gut" eingestuft wurden. Was nun?

Danke für Hilfe im Voraus und beste Grüße,
G.F.

Hi,
Nummer eins der 7 goldenen Regeln des TB hätte dir schon weitergeholfen...
siehe:

Zitat:

Zitat von The Saint
Zu deinem Problem das liegt an der C:\WINDOWS\system32\verclsid.exe, das ist ein vollkommen sinnloser Sicherheitspatsch von Mikrosoft den man wieder deinstallieren sollte.

Dieser Sicherheitspatch KB908531 kann dazu führen das man im IE (http://) eingeben muß und führt zu abstürzen der explorer.exe.

Desweiteren guckst du hier.
cacatoa

Hallo,

also dass es sich bei der EXE-Datei nicht um was schädliches handelt habe ich mir fast schon gedacht. Viel wichtiger ist mir auch die "Unregelmäßigkeit" bei dem AVG-Scan bzgl. der shell32.dll. Was zum Kuckuck heißt dieses "Changed"? Oder hat das auch etwas mit dem Sicherheitspatch zu tun? Mir fällt auch gerade ein, dass ich erst gestern Windows geupdatet habe und daher vielleicht die Änderung in der sell32.dll kommen könnte? Oder? Ich habe das mal als Anhang beigefügt. Die rechte Spalte ist mit "Status" überschrieben und die mittlere mit "Result".

Habe auch gerade mal E-Scan laufen lassen. Der hat drei verdächtige Objekte gefunden, die ich mit 99,999999999999%iger Sicherheit als false positives identifizieren kann.

Wie gesagt: dieses "Changed" bei der shell32.dll irritiert mich. Da finde ich unter Deinen Links keinen Hinweis zu, cacatoa.

Danke so weit aber für Deine Hilfe!

G.F.

PS: Für das Nichtverwenden der Suchfunktion entschuldige ich mich mit hohem Arbeitsaufkommen an der Uni. Ich hoffe das wird akzeptiert? Musste nämlich ganz viel Zeugs heute abend lesen.

Zitat:

Mir fällt auch gerade ein, dass ich erst gestern Windows geupdatet habe und daher vielleicht die Änderung in der sell32.dll kommen könnte?

Die Frage kannst Du Dir auch selbst beantworten das war auch cacatoas Intention
Stichwort: Informationen zum Sicherheitsupdate
http://www.microsoft.com/germany/tec.../ms06-015.mspx

Zitat:

Viel wichtiger ist mir auch die "Unregelmäßigkeit" bei dem AVG-Scan bzgl. der shell32.dll. Was zum Kuckuck heißt dieses "Changed"?

Ich vermute schon eine Weile ein ITW Exploit der shell32, der sich bisher unbemerkt durchgeschlichen hat.

Evtl. könnte ein Zusammenhang mit den desktop.ini´s bestehen, bei mir generiert sich immer eine versteckte desktop.ini auf dem Desktop, außerdem im Programmverzeichnis und im DVD Laufwerk, meistens mit Inhalten dieser Art:

Zitat:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21815

Was auf den ersten Blick eigentlich harmlos aussieht.

In Windows stecken nbestimmt noch eine Menge Exploit-Möglichkeiten drin, man muss sie nur entdecken. Dass hat aber nichts damit zu tun, dass AVG bei Installation mal ein paar Prüfsummen für Dateien aufzeichnet und später meckert, wenn diese im Zuge von Windowsupdates nicht mehr stimmen. Eine Prüfung der digitalen Signaturen wäre sinnvoller (soweit Microsoft seine Dateien signiert, geschieht leider nicht komplett).

DESKTOP.INI Documentation and Utilities - PeatSoft