kernel32.dll, user32.dll,shell32.dll und ntoskrnl.exe verändert

F

FloKe

0
Huhu,

hab mal meinen Rechner mit AVG Free auf Viren gescannt und es kam dann die Meldung, dass die kernel32.dll, user32.dll,shell32.dll und ntoskrnl.exe veraendert wurden.
Ist dass ein Grund um stuztig zu werden? Dass diese Dateien in irgendeiner Form veraendert worden sind, wurde mir vorher noch nie bei einem Virenscan mitgeteilt.
 
Zumindest mit modifizierten ntoskrnl.exe'n hab ich schon Erfahrung gemacht: nämlich beim Aufspielen von nicht offiziellen Windows-Themes. Hast du auch irgendwas extravagantes installiert, oder ist alles Standart bei dir? In dem Falle wäre ich dann schon stutzig... kannst ja mal die dlls nem online-virenscanner zum Fraß vorwerfen und gucken was der sagt!

mfg,
crack
 
Bei mir wurde SHELL32.DLL im Oktober 2007 modifiziert. Die anderen im Zeitraum Februar-April 2007 (XP SP2 alle kritischen Updates). So steht es jedenfalls unter Dateieigenschaften "geändert am".
Auch wenn dieser Zeitstempel an sich nicht vertrauenswürdig ist, würde ich trotzdem mal nachschauen.
Denn zumindest kernel32.dll wird in alle startdenden Anwendungen geladen - hat man die Kontrolle darüber erlangt, kann man im Kontext des Programms agieren.
 
Hi,

Original von IsNull
Original von Test User
Hi,

an deiner Stelle würde ich mal Hijack-This drüber laufen lassen, und da Auswertung von Hijackthis lassen.
Zum Vergrößern anklicken....
Hier wird Hijackthis nix mehr bringen. Wenn ein Virus Systemdateien infizieren konnte, braucht er keine phöse.exe im Autostart mehr um zu schaden. Siehe CDWs Post.

Deswegen ist hier einzig und allein ein neuaufsetzten angebracht.
Zum Vergrößern anklicken....

das wäre dann als wenn man mit Kanonen auf Spatzen schießt. Solange seine Kiste keine Komplikation aufweist, brauch er diese auch nicht neu aufsetzen.

Und wer weis was er mit Hijackthis noch findet.

Edit; Zudem werden die Systemdateien von MS mit einer Signatur versehen digital natürlich, welche dann bei einer änderung der Datei ungültig wird und sich nicht verfälchen lassen.

Hier noch ein Proggi um diese Signaturen zu prüfen => Sysinternals Sigcheck
 
Solange seine Kiste keine Komplikation aufweist,
Zum Vergrößern anklicken....
sag mal du held, meinst du wirklich gut geschreibene Malware (besonders für backdoors und botnetze) läuft mit nem Schild über deinen Desktop "Du bist infiziert" und läst nebenbei dein CD-Laufwerk alle 3min aus und einfahren? :/

Und genau diese Malware kriegt man auch nie von Hand wieder vom System runter. Es gibt nunmal einen beträchtlichen Unterschied zwischen "echter" Malware und diesem Skriptkiddy-Murks.
 
Hi,

Original von IsNull
Solange seine Kiste keine Komplikation aufweist,
Zum Vergrößern anklicken....
sag mal du held, meinst du wirklich gut geschreibene Malware (besonders für backdoors und botnetze) läuft mit nem Schild über deinen Desktop "Du bist infiziert" und läst nebenbei dein CD-Laufwerk alle 3min aus und einfahren? :/

Und genau diese Malware kriegt man auch nie von Hand wieder vom System runter. Es gibt nunmal einen beträchtlichen Unterschied zwischen "echter" Malware und diesem Skriptkiddy-Murks.
Zum Vergrößern anklicken....

Spyware entfernen. ? So geht?s? :rolleyes:
 
Vielen Dank erstmal fuer die vielen Antworten.
Ich habe es nun mit Hijackthis probiert und es wurde nichts verdaechtiges gefunden.
Komisch ist, dass der Laptop auch seit einiger Zeit langsamer als gewoehnlich laeuft.
Also werde ich wohl um eine Neuinstallation wohl nicht herum kommen oder?
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben