Screen.exe im system32-Verzeichnis wird bemängelt, aber nicht auffindbar

#0
17.11.2008, 12:29
Moderator
Avatar joschi

Beiträge: 6466
#1 Habe auf der F-secure Verwaltungskonsole folgende Meldung:

Zitat

Eine Aktion einer Anwendung wurde blockiert. Die Aktion wurde von der Systemsteuerungs-Heuristik als Anwendung mit hohem Risiko eingestuft.

Anwendungspfad: \\?\C:\WINDOWS\system32\screen.exe
Datei-Hash: 76ca0b9649125a94b7b66034c732e15e88c054ed
Um W32/Sdbot dürfte es sich nicht handeln, dieser dürfte
a) namentlich erkannt werden
b) fehlen die typischen Registry-Starteinträge

Das Hauptproblem: die Datei wird mir auf diesem XP-Rechner nicht aufgelistet.

Habe auf meinem Rechner eine screen.exe im \Windows\Prefetch -Verezichnis gefunden, diese ist lt. virustotal unbedenklich und wird auch lokal v. F-Secure nicht bemängelt.

Solange ich die Datei nicht zu fassen bekomme, will ich mit combofix oder avenger hier nicht ran. Werde mal mit Blacklight scannen.

Noch jemand einen Tip ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
17.11.2008, 12:47
Moderator

Beiträge: 7805
#2 Mal schauen, was Blacklight bringt, ansonsten mit hilfe von einer aktuellen Catchme Version die Datei kopieren. Wenn die Datei da ist, dann kann Catchme diese auch finden und kopieren, bzw in ein Zip Archiv kopieren. Es loescht die Datei bei dieser Aktion nicht!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.11.2008, 13:59
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#3 weder catchme (Gmer ?) noch Blacklight finden etwas.
Hatte die Meldung auf insgesamt 2 Domänen-Rechnern, welche recht unterschiedliche spezifische Software installiert haben. Werde es einfach weiter beobachten und ggf. mal bei f-secure nachhaken.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende