| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: HEUR/Modified.Systemfile !!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.03.2009, 21:27
| #1 |
| |  HEUR/Modified.Systemfile !!! Soooo also... ich habe das Problem das Antivir vor kurzen beim systemscan einen Virus entdeckt hat: Datei: HEUR/Modified.Systemfile Quelle: C:\WINDOWS\explorer.exe nach der Bereinigung hat er diesen Virus jedoch nocheinmal gefunden. Egal wie oft ich Antivir durchlaufen lasse, ich kann es nicht entfernen. um mein Problem zu posten bin ich der Anleitung gefolgt und hab nun mehrere Log-Files. 1. Meine Programmliste: Adobe AIR Adobe AIR Adobe Flash Player 10 Plugin Adobe Reader 9.1 Adobe Shockwave Player 11 Advanced Video FX Engine Apple Mobile Device Support Apple Software Update Audacity 1.2.6 Avira AntiVir Personal - Free Antivirus Bonjour CCleaner (remove only) Choice Guard Creative Live! Cam Manager Creative Software AutoUpdate Creative-Systeminformationen DivX Codec DivX Converter DivX Web Player DriverMax 4 EVEREST Home Edition v2.20 FL Studio 8 FLV Player 2.0 (build 25) Free Video to Mp3 Converter version 3.1 GameSpy Arcade Google Gears Google Update Helper HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) IL Download Manager IrfanView (remove only) iTunes Java(TM) 6 Update 7 Luxor: Amun Rising Malwarebytes' Anti-Malware Messenger Plus! Live Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 1 Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Language Pack - deu Microsoft .NET Framework 3.5 Language Pack - DEU Microsoft Office Professional Edition 2003 Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.7) MSVCRT MSXML 4.0 SP2 (KB936181) MSXML 6.0 Parser (KB933579) PoiZone QuickTime Realtek AC'97 Audio Royale Remixed Theme SAMSUNG CDMA Modem Driver Set SAMSUNG Mobile USB Modem ^^ SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio Samsung PC Studio 3 USB Driver Installer Segoe UI Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Spybot - Search & Destroy Stronghold Crusader SUPER © Version 2008.bld.33 (Sep 2, 2008) Toxic Biohazard TuneUp Utilities 2007 Uninstall 1.0.0.1 Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VC80CRTRedist - 8.0.50727.762 VIA Rhine-Family Fast-Ethernet Adapter VIA/S3G UniChrome Family Win2K/XP/Server2003 Display 6.14.10.0407 Wichtiges Update für Windows Media Player 11 (KB959772) Windows Imaging Component Windows Live Anmelde-Assistent Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Messenger Windows Live-Uploadtool Windows XP Service Pack 3 WinRAR XML Paper Specification Shared Components Language Pack 1.0 xp-AntiSpy 3.96-8 2.Anti-Malware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1889 Windows 5.1.2600 Service Pack 3 23.03.2009 20:27:41 mbam-log-2009-03-23 (20-27-41).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 118150 Laufzeit: 34 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 3.Hjijack Log-file: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:30:39, on 23.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\VTTimer.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218134883562 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F2B6214D-734D-4950-95F6-BA18E474C2E6}: NameServer = 62.109.123.6 213.191.92.87 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Update Service (gupdate1c9a20836dc7368) (gupdate1c9a20836dc7368) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing) -- End of file - 7020 bytes Wie ihr merkt hat Anti-Malware noch 2 infizierte einträge gefunden aba die hab ich entfernt  Ich weis nicht wie ich dieses Heur-ding loswerden bzw was für einen Schaden sie anrichten kann.. könnte mir da bitte jemand helfen??  DANKESCHÖN!! im vorraus Damit keine Angaben fehlen: Microsoft Windows XP Professional Version 2002 Service Pack 3 Notebook: Fujitsu Siemens Amilo Pro V2030 Intel(R) Celeron(R) ; Processor 1,50 GHz RAM: 448MB Geändert von BobaFat (23.03.2009 um 21:32 Uhr) Grund: links ändern^^ |
|
23.03.2009, 21:32
| #2 |
| /// TB-Ausbilder     |  HEUR/Modified.Systemfile !!! Hi,
__________________HEUR ist eine heuristische Erkennung, derartige Erkennungen sind anfällig für Fehlalarme, daher würde ich als erstes überprüfen, ob die Datei wirklich bedenklich ist: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\windows\explorer.exe
Da es sich eventuell um einen Fehlalarm von Avira handelt, begebe dich bitte auf diese Webseite: Submit your sample und lade dort die Datei hoch. Gib deine Emailadrese an (eine gültige, damit du die Ergebnisse der Analyse zugeschickt bekommen kannst  ) und wähle als Dateityp "Verdacht auf Fehlalarm" aus.Du bekommst direkt eine Bestätigungsmail und in den nächsten 1-2 Tagen eine ausführlichere Analyse mit dem Endergebnis. Poste bitte das Ergebnis auch hier, damit wir wissen ob sich der Verdacht zerschlagen hat oder nicht. Die Meldungen von MBAM sind erstmal eher unbedenklich: Das eine dürfte ein Überbleibsel eines alten Befalls sein: Es geht um die Suchmotoren beim Internet Explorer, die 2. Meldung ist ein fehlerhafter Eintrag in der Registry, der ausgenützt werden könnte. Um das zu verhindern, trägt MBAM den Standardwert wieder ein. lg myrtille
__________________ |
|
23.03.2009, 22:51
| #3 |
| /// Helfer-Team | HEUR/Modified.Systemfile !!! Hi,
__________________bloß keine Aufregung. Die meisten Windowsdateien wurden von Microsoft mit einer digitalen Signatur versehen. Sobald auch nur ein einziges Bit an der Datei geändert wird, ist die zerstört. Avira kam nun auf die "tolle" Idee, die neue Version 9 ihres Virenscanners diese Signaturen prüfen zu lassen. Dabei haben sie zwei Dinge übersehen: erstens gibt es ein paar Systeme (nach meinen Erfahrungen geschätzt 2%), auf denen die Signaturprüfung für alle Dateien nicht funktioniert. Zweitens gibt es Anwender, die nicht damit zufrieden sind, wie ihr System aussieht. Die benutzen dann alle mögliche Software, die die Systemdateien so umbaut, dass dann ein XP wie ein Vista aussieht. Beide Gruppen müssen nun damit leben, dass Antivir das nicht gut findet (übrigens müssen sie auch damit leben, dass eine wirklich schädliche Manipulation an den Dateien, die immer häufiger vorkommen, dabei auch sehr leicht durch geht). Allerdings soll es irgendwo in Antivir ein Menü geben, in dem sich diese Prüfung ausschalten lässt. Kann ich dir gerade keinen Tip geben, ich habe es von meinem Computer entfernt. Ist aber gerade eines der Dauerthemen im Antivir-Forum. aber yeah: ladet ganze Betriebssysteme zu ihnen hoch, auf dass sie mal so richtig ins schwitzen kommen Gruß, Karl |
|
24.03.2009, 01:14
| #4 |
| | HEUR/Modified.Systemfile !!! @KarlKarl Meinst du vielleicht die WMI Einstellung von AntiVir? Ich frage mich allerdings auch, warum so viele an XP rumwerkeln. Wenn es aussehen soll wie Vista, kann man sich auch gleich Vista holen. Obwohl.... Dann gibt es bestimmt bald Tools, die Vista aussehen lassen wie Windows 7. |
|
24.03.2009, 10:46
| #5 |
| /// Helfer-Team | HEUR/Modified.Systemfile !!! Nein, mit WMI hat das nichts zu tun. Falls du dich fragst, was das ist und ob Du das unter Antivir installieren sollst, brauchst Du es nicht. Die meisten dieser Meldungen über veränderte Systemdateien stammen von Systemen, auf denen irgendwelche Optikprogramme eingesetzt wurden. Die verändern nämlich die Dateien und schon ist die Signatur hinüber. Sie können den Microsoft-Dateien auch keine Microsoft-Signatur geben, da dafür ein geheimer Schlüssel erforderlich ist. Sie könnten eine eigene Signatur anbringen, aber da dafür alle erforderlichen Informationen auf dem System vorhanden sein müssen, ließen sich die auch später fälschen und wären damit wertlos. Es gibt aber auch eine kleine Menge Systeme, auf denen die Signaturprüfung fehlschlägt ohne dass solche Software eingesetzt wurde. Ich vermute, dass es an fehlenden/falschen Zertifikaten von Microsoft liegen kann. Ich habe an meinem XP auch die Optik verändert. Aber mit Bordmitteln, habe die entsprechende Einstellung auf Klassik gesetzt und den Design-Service rausgeworfen. Für mich ist der Bonbon-Look von XP immer ein Reiz gewesen, in die Tastatur zu kotzen. |
|
25.03.2009, 07:15
| #6 |
| | HEUR/Modified.Systemfile !!! also danke erstmal für die schnellen antworten  undzwar zeigt mir Virustotal dieses ergebnis an: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.24 - AhnLab-V3 5.0.0.2 2009.03.25 - AntiVir 7.9.0.120 2009.03.24 - Antiy-AVL 2.0.3.1 2009.03.24 - Authentium 5.1.2.4 2009.03.24 - Avast 4.8.1335.0 2009.03.24 - AVG 8.5.0.283 2009.03.24 - BitDefender 7.2 2009.03.25 - CAT-QuickHeal 10.00 2009.03.25 - ClamAV 0.94.1 2009.03.25 - Comodo 1083 2009.03.24 - DrWeb 4.44.0.09170 2009.03.25 - eSafe 7.0.17.0 2009.03.24 - eTrust-Vet 31.6.6415 2009.03.24 - F-Prot 4.4.4.56 2009.03.24 - F-Secure 8.0.14470.0 2009.03.25 - Fortinet 3.117.0.0 2009.03.24 - GData 19 2009.03.25 - Ikarus T3.1.1.48.0 2009.03.24 - K7AntiVirus 7.10.680 2009.03.24 - Kaspersky 7.0.0.125 2009.03.25 - McAfee 5563 2009.03.24 - McAfee+Artemis 5563 2009.03.24 - McAfee-GW-Edition 6.7.6 2009.03.24 - Microsoft 1.4502 2009.03.25 - NOD32 3960 2009.03.25 - Norman 6.00.06 2009.03.24 - nProtect 2009.1.8.0 2009.03.25 - Panda 10.0.0.10 2009.03.24 - PCTools 4.4.2.0 2009.03.24 - Prevx1 V2 2009.03.25 - Rising 21.22.20.00 2009.03.25 - Sophos 4.39.0 2009.03.25 - Sunbelt 3.2.1858.2 2009.03.25 - Symantec 1.4.4.12 2009.03.25 - TheHacker 6.3.3.4.289 2009.03.24 - TrendMicro 8.700.0.1004 2009.03.25 - VBA32 3.12.10.1 2009.03.24 - ViRobot 2009.3.24.1661 2009.03.24 - VirusBuster 4.6.5.0 2009.03.24 - weitere Informationen File size: 1035264 bytes MD5...: 64322e8399b205b7281ff883737a9b03 SHA1..: 15d0f9dbf114bdcfb0824bd20492f4110de74892 SHA256: 4b4bfbfee03607ededd95ec540d64c66943b6ba908f16780b115b13875b0f6ab SHA512: 61bcace147372876478860d8d367189e76fad3318fd01e0c015c5e7afb091cb5 32c7a8c88ac08d1ca6fd220767f2e7719ae252b5058df465a1f4a653323a91d8 ssdeep: 12288:LlSDf0XQKEYnEC2kR82GM+sNzabYEoJpaz/g/J/vk:Zw0AKE2Eryj+sNEY raz/g/J/s PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1a50f timedatestamp.....: 0x4254fe83 (Thu Apr 07 09:33:55 2005) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x44749 0x44800 6.36 87c7af9337f3955cb1aaf8eaecb9963b .data 0x46000 0x1db0 0x1800 1.30 6f7a8ca01bbf5135d058551b882fa235 .rsrc 0x48000 0xb2f50 0xb3000 6.64 11d8188b38f1a4a1c50c13f40767d652 .reloc 0xfb000 0x36e0 0x3800 6.76 90a514d26612338ea4d641063e5b3ac1 ( 13 imports ) > ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW > BROWSEUI.dll: -, -, -, - > GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, CreateRectRgnIndirect, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, SetTextColor, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode > KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, OpenEventW, DelayLoadFailureHook, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, GetFileAttributesExW, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, MulDiv, InitializeCriticalSectionAndSpinCount, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, RegisterWaitForSingleObject > msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf > ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess > ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop > OLEAUT32.dll: -, - > SHDOCVW.dll: -, -, - > SHELL32.dll: -, -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHGetSpecialFolderLocation, ShellExecuteExW, -, -, -, SHGetSpecialFolderPathW, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, - > SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, -, StrCmpNW, -, - > USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, CopyRect, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, PtInRect, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, ModifyMenuW, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW > UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed bei dem Verdacht auf Fehlalarm warte ich noch auf eine email, aba das poste ich dann direkt @Kaos und KarlKarl: ich habe auch ein Pack um XP anders aussehen zu lassen Royal Remixed meint ihr es kann daran liegen? |
|
25.03.2009, 08:53
| #7 |
| /// Helfer-Team | HEUR/Modified.Systemfile !!! Die Datei ist schon ok, mal abgesehen davon, dass sie keine gültige Signatur mehr hat, was selber zwar nicht eine Gefahr ist, es aber erschwert sein System unter Kontrolle zu haben. Von dem von dir genannten Optikpaket habe ich zwar noch nichts gehört, aber ich halte es für den sehr wahrscheinlichen Grund, viele Details wie Programme und Icons aussehen sind in den Dateien gespeichert und werden ausgetauscht. |
|
25.03.2009, 16:20
| #8 |
| | HEUR/Modified.Systemfile !!! Ich habe jetzt inzwischen auch das Ergebnis vom "Testlabor" Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 119471 explorer.exe 1011 KB KNOWN CLEAN Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis explorer.exe KNOWN CLEAN Die Datei 'explorer.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft (KB884883)' ist. ich denke mal das wird wohl ein fehlalarm sein  danke für eure hilfe..super forum!!  :aplaus: |
|
| Themen zu HEUR/Modified.Systemfile !!! |
| antivir, antivir guard, bho, broken.opencommand, components, dateien, desktop, download, excel, firefox, flash player, gupdate, heur/modified.systemfile, hkus\s-1-5-18, home, internet, internet explorer, loswerden, malwarebytes anti-malware, mp3, problem, programme, registrierungsschlüssel, searchscopes, server, software, sp3, studio, usb, virus, windows, windows internet, windows internet explorer, windows media player, windows xp |
Linear-Darstellung
