Virus?

Internet Internet Sicherheit
#1

Hallo liebe Experten!

Soeben erhalte ich auf meinem (anderen) PC folgende Meldung:

Windows Dateischutz
Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.

Legen Sie Windows XP Home Edition-CD-ROM jetzt ein.

Abgesehen davon, dass ich keine Ahnung hab, wo sich die befindet (mein Schatz verwaltet die CD-ROMs), würde mich die Ursache für diesen Austausch von Dateien brennend interessieren.

Welche Möglichkeit außer einem Virus kommt in Betracht?

Ich verwende übrigens Norton AntiVirus.

Hanna

#2

Welche Möglichkeit außer einem Virus kommt in Betracht?

Ein Programm oder Programmupdate oder Treiber wurde gerade installiert.

#3

Hallo Olaf!

Danke!

Gestern hat mein Sohn ein Spiel installiert, das könnte die Ursache sein!

Mir fällt ein großer Stein vom Herzen!
:smile:))

Hanna

Welche Möglichkeit außer einem Virus kommt in Betracht?

Ein Programm oder Programmupdate oder Treiber wurde gerade
installiert.

1 Like
#4

NIcht so einfach

Gestern hat mein Sohn ein Spiel installiert, das könnte die
Ursache sein!

Mir fällt ein großer Stein vom Herzen!

Das passt nicht zusammen. In deinem ersten Posting schriebst du, du habest ‚soeben‘ die Meldung erhalten. Tatsächlich erscheint diese Meldung unmittelbar und einmalig nach dem Austausch/Löschen von Systemdateien.

Denkbar ist allenfalls, dass die Installationroutine bestimmte Dateien erst nach einem Systemneustart austauscht, und der Rechner seit der gestrigen Installation vorhin von dir erstmals wieder hochgefahren wurde.

Im übrigen wüsste ich kein Spiel, welches in Windows-Systemdateien auch nur das geringste herumzupfuschen hätte.

Welche Dateien betroffen sind, findest du im Systemprotokoll der Ereignisanzeige. Ernstnehmen solltest du die Sache auf jeden Fall, auch wenn sich durchaus eine ‚harmlose‘ Erklärung für diesen Vorfall finden lässt.

Im übrigen sind für derart tiefgreifende Eingriffe in das Betriebssystem Administratorrechte Voraussetzung, du solltest dir vielleicht mal Gedanken machen, wer warum an deinem Rechner als Admin arbeiten darf.

Gruss
Schorsch

1 Like
#5

Hallo Schorsch!

Das passt nicht zusammen. In deinem ersten Posting schriebst
du, du habest ‚soeben‘ die Meldung erhalten. Tatsächlich
erscheint diese Meldung unmittelbar und einmalig nach dem
Austausch/Löschen von Systemdateien.

Aha! Also, das mit „soeben“ stimmt!

Denkbar ist allenfalls, dass die Installationroutine bestimmte
Dateien erst nach einem Systemneustart austauscht, und der
Rechner seit der gestrigen Installation vorhin von dir
erstmals wieder hochgefahren wurde.

Das System ist aber schon in der Früh hochgefahren worden.

Im übrigen wüsste ich kein Spiel, welches in
Windows-Systemdateien auch nur das geringste herumzupfuschen
hätte.

Als Super-DAU habe ich natürlich auch keine Ahnung. Aber, wie gesagt, die Meldung trat vorhin auf, ohne dass ich heute ein Programm oder einen Treiber installiert hätte.

Übrigens wird mir wer-weiss-was völlig verfremdet angezeigt (riesige Zeilenabstände, andere Farben etc.)

Welche Dateien betroffen sind, findest du im Systemprotokoll
der Ereignisanzeige. Ernstnehmen solltest du die Sache auf
jeden Fall, auch wenn sich durchaus eine ‚harmlose‘ Erklärung
für diesen Vorfall finden lässt.

Jetzt musst Du mir nur noch sagen, wo ich das Systemprotokoll finde.

Im übrigen sind für derart tiefgreifende Eingriffe in das
Betriebssystem Administratorrechte Voraussetzung, du solltest
dir vielleicht mal Gedanken machen, wer warum an deinem
Rechner als Admin arbeiten darf.

Da ich als Hausfrau immer über meinen PC wachen kann, weiß ich, dass da seit gestern (Spiel-Installation) niemand mehr drangegangen ist.

Jetzt ist mir schon wieder mulmig …

Hanna

#6

1.)
Die verfremdete Darstellung von wer-weiss-was scheint ein temporäres Problem gewesen zu sein. Ich habe von der Eingabe-Seite einen Screenshot gemacht (http://www.expertentreffen.de/img/bug001.jpg - beachte die Navigation!!!) und wollte einen zweiten vom Forum mit den großen Zeilenabständen machen, da war das Forum wieder normal, auch die Zitate in den Postings werden wieder mit dem hellblauen Balken angezeigt und sind wieder dunkelblau und italic geschrieben.

2.)
Gestern abend habe ich schon ein seltsames Erlebnis gehabt:
http://www.wer-weiss-was.de/cgi-bin/www/login.fpl?ju…

Ob dieses Phänomen mit dem heutigen in Zusammenhang steht?

Hanna,
die sich jetzt mal ans Datenretten macht …

#7

Jetzt musst Du mir nur noch sagen, wo ich das Systemprotokoll
finde.

Systemsteuerung-> Verwaltung-> Ereignisanzeige-> Systemprotokoll
Typ der Meldung ‚Information‘, Quelle ‚Windows File Protection‘. Ein Doppelklick auf die Meldung zeigt die Einzelheiten.

Jetzt ist mir schon wieder mulmig …

Über die Ursachen kann man ohne eine eingehende Inspektion des Rechners allenfalls spekulieren. Gesehen habe ich diese Meldung schon häufig, immer dann, wenn ich gezielt Systemdateien endgültig (also inkl. der Kopie im dllcache) gelöscht habe. Bekäme ich diese Meldung aber ohne derart offenkundigen Grund auf den Bildschirm geworfen, würde bei mir auch eine gewisse Besorgnis einsetzen.

Und dennoch halte ich eine triviale Ursache, wie zum Beispiel einen temporären Lesefehler, für zunächst genauso wahrscheinlich, wie einen Virus. Grund zur genauen Überprüfung besteht also, Grund zur Hektik oder gar Panik aber nicht.

Gruss
Schorsch

1 Like
#8

Jetzt musst Du mir nur noch sagen, wo ich das Systemprotokoll
finde.

Systemsteuerung-> Verwaltung-> Ereignisanzeige->
Systemprotokoll
Typ der Meldung ‚Information‘, Quelle ‚Windows File
Protection‘. Ein Doppelklick auf die Meldung zeigt die
Einzelheiten.

Das habe ich 14 mal gefunden!
Da steht (in jeder Meldung ist natürlich eine andere Datei angeführt):

Die geschützte Systemdatei imm32.dll konnte nicht mit der
gültigen Originalversion wiederhergestellt werden. Die Dateiversion 
der ungültigen Datei ist 0x800b0100 [Es war keine Signatur im 
Antragsteller vorhanden.]. 
Der spezifische Fehlercode ist 5.1.2600.1106.

Das klingt nicht gerade beruhigend.

Außerdem habe ich heute mehrfach die Meldung bekommen, es sei zu wenig Speicherplatz auf der Partition C vorhanden (so konnten beispielsweise nichtmal mehr die Mails abgerufen werden!)
Das gestern installierte Spiel befindet sich aber auf Partition D!

Na, egal, ich werde mir alles sichern und den Computer dann neu aufsetzen.

Besten Dank und Sternchen für Deine Hilfe und Deine Bemühungen!

Hanna

#9

Außerdem habe ich heute mehrfach die Meldung bekommen, es sei
zu wenig Speicherplatz auf der Partition C vorhanden (so
konnten beispielsweise nichtmal mehr die Mails abgerufen
werden!)

Das kann natürlich viel erklären. Auch wenn das Spiel

Das gestern installierte Spiel befindet sich aber auf
Partition D!

auf einer anderen Partition installiert wurde, könnten die temp-Verzeichnisse auf der Systemplatte dennoch durch diese Installation massiv gefüllt worden sein.

Eine Neuinstallation halte ich auch für sinnvoll, da bei vierzehn derartigen Meldungen die Systemintegrität zumindest in Frage gestellt ist, die Zeit aber, nachzuschauen, wodurch die Systemplatte so zugeknallt wurde, würde ich mir doch vorher nehmen. So können z. B. hunderte Dateien mit dem Namensmuster File*.chk im Root-Verzeichnis auf einen Plattendefekt hinweisen, der zum baldigen Totalverlust führen kann; wenn’s das Spiel war, sollte man überlegen, die temp-Verzeichnisse zukünftig auf eine andere Partition zu legen; evtl. findest du Anhaltspunkte, die es sinnvoll erscheinen lassen, zukünftig mit einer grösseren Systempartition zu arbeiten…

Gruss
Schorsch