[HaBo]

FloKe

Anzeige

Huhu,

hab mal meinen Rechner mit AVG Free auf Viren gescannt und es kam dann die Meldung, dass die kernel32.dll, user32.dll,shell32.dll und ntoskrnl.exe veraendert wurden.
Ist dass ein Grund um stuztig zu werden? Dass diese Dateien in irgendeiner Form veraendert worden sind, wurde mir vorher noch nie bei einem Virenscan mitgeteilt.

Crack

Zumindest mit modifizierten ntoskrnl.exe'n hab ich schon Erfahrung gemacht: nämlich beim Aufspielen von nicht offiziellen Windows-Themes. Hast du auch irgendwas extravagantes installiert, oder ist alles Standart bei dir? In dem Falle wäre ich dann schon stutzig... kannst ja mal die dlls nem online-virenscanner zum Fraß vorwerfen und gucken was der sagt!

mfg,
crack

Test User

Hi,

an deiner Stelle würde ich mal Hijack-This drüber laufen lassen, und da Auswertung von Hijackthis lassen.

Auch kommt es vor das Virenscanner fälchlicherweise dll Dateien als Virus erkennen.

CDW

Bei mir wurde SHELL32.DLL im Oktober 2007 modifiziert. Die anderen im Zeitraum Februar-April 2007 (XP SP2 alle kritischen Updates). So steht es jedenfalls unter Dateieigenschaften "geändert am".
Auch wenn dieser Zeitstempel an sich nicht vertrauenswürdig ist, würde ich trotzdem mal nachschauen.
Denn zumindest kernel32.dll wird in alle startdenden Anwendungen geladen - hat man die Kontrolle darüber erlangt, kann man im Kontext des Programms agieren.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

IsNull

Hier wird Hijackthis nix mehr bringen. Wenn ein Virus Systemdateien infizieren konnte, braucht er keine phöse.exe im Autostart mehr um zu schaden. Siehe CDWs Post.

Deswegen ist hier einzig und allein ein neuaufsetzten angebracht.

Test User

Hi,

das wäre dann als wenn man mit Kanonen auf Spatzen schießt. Solange seine Kiste keine Komplikation aufweist, brauch er diese auch nicht neu aufsetzen.

Und wer weis was er mit Hijackthis noch findet.

Edit; Zudem werden die Systemdateien von MS mit einer Signatur versehen digital natürlich, welche dann bei einer änderung der Datei ungültig wird und sich nicht verfälchen lassen.

Hier noch ein Proggi um diese Signaturen zu prüfen => Sysinternals Sigcheck

2Bios

Das machst du natürlich von einem sauberen Zweitsystem (BartPE & Freunde)

IsNull

sag mal du held, meinst du wirklich gut geschreibene Malware (besonders für backdoors und botnetze) läuft mit nem Schild über deinen Desktop "Du bist infiziert" und läst nebenbei dein CD-Laufwerk alle 3min aus und einfahren? :/

Und genau diese Malware kriegt man auch nie von Hand wieder vom System runter. Es gibt nunmal einen beträchtlichen Unterschied zwischen "echter" Malware und diesem Skriptkiddy-Murks.

Test User

Hi,

Spyware entfernen. ? So geht?s?

IsNull

was will mir das jetzt sagen?

FloKe

Vielen Dank erstmal fuer die vielen Antworten.
Ich habe es nun mit Hijackthis probiert und es wurde nichts verdaechtiges gefunden.
Komisch ist, dass der Laptop auch seit einiger Zeit langsamer als gewoehnlich laeuft.
Also werde ich wohl um eine Neuinstallation wohl nicht herum kommen oder?

dao1202

Ich geb IsNull da recht, setz lieber neu auf....