Misteriöse Scrnsave.exe

Also ich bin ja nicht von der ganz dummen Sorte, aber soeben ist mir doch etwas reichlich seltsames aufgefallen.

Ich wollte ein Video anschauen, öffne dazu wie gewohnt den Creative MediaSource. Als das Videofenster aufpoppt erscheint parallel dazu die Meldung vom Spybot-Resident, das eine Anwendung (die Scrnsave.exe, klingt ja scho nach Betrug), versucht hatte eine Änderung im System vorzunehmen. Ich lehnte dankend ab. Als ich das Fenster schloss, erschien der Dialog erneut. Gut, wieder abgelehnt. Ich schließe den MediaSource, öffne ihn erneut, und lade wieder das Video. Selbes verhalten. Ich schließe ihn, lade ein komplett anderes Video. Erneut möchte die Scrnsave.exe was von mir. Gut, nun nam ich einen anderen Player (den klassischen Windows Media Player als auch den neuen 11er). Beide spielten das Video ab, ohne jegliche Meldungen mehr von Spybot zu erhaschen. Dann habe ich wieder den MediaSource angeworfen, und eine Mp3 ausgewählt und abgespielt. Keine Meldung von Spybot. Dann wieder das Video. *blubb* war wieder das Fensterchen von Spybot da, was mich brav um erlaubnis fragen wollte, ob diese Anwendung denn die Änderung nun durchführen dürfe. Ich lehnte erneut ab. Short things short: diese Meldung taucht einzig und allein dann auf, wenn der MediaSource ein Videofenster auf- bzw. abbauen will. Kein anderes Programm zeigt dieses Verhalten, und der MediaSource selbst auch nicht, solange man kein Video abspielt.

Ein im Anschluss durchgeführter Komplettscan mit Spybot und Adaware sowie AntiVir zeigte keinen Hinweis auf Viren oder Trojaner-Befall (natürlich waren alle auf aktuellem Stand). Die Firewall meldete die letzten Tage ebenfalls nichts (ungewöhnliches). Also begab ich mich selbst auf die Suche, um das File vlt. mal bei Virustotal überprüfen zu lassen. Da entstand aber auch schon das nächste Problem: das File existiert praktisch nicht auf diesem System. Die Suche blieb ergebnislos, obwohl sowohl versteckte, System- und Archiv-Dateien durchsucht wurden.

Tja... soweit, so gut. Habe bei Virustotal jetzt erstmal die Scrnsave.SCR hochgeladen, vlt. benennt sich das File ja selbstständig um. Glaube allerdings nicht wirklich drann, das File erzeugt den selben CRC32-Wert wie das auf der Windows-CD. [im übrigen, während ich hier schreibe, sehe ich im Ergebnis von Virustotal, das kein Virus gefunden wurde.]

Weis nun halt nicht so recht weiter, was ich jetzt machen soll. Einerseits halte ich es für keine akute Bedrohung, das System ist gegen sowas wie man u.a. ja an dem Spybot-Resident erkennen kann recht gut abgesichert. Anderseits ist es natürlich unnormal.

hier das hat google dazu rausgeschmissen:

Der Default Screen Saver Prozess gehört zur Software Microsoft® Windows® Operating System der Firma Microsoft Corporation (www.microsoft.com).

Charakteristik: Die Datei scrnsave.scr befindet sich im Ordner C:\Windows\System32. Bekannte Dateigrößen unter Windows XP sind 9216 bytes (75% aller Vorkommen), 8704 bytes.
Diese Datei wird vom Windows System benötigt. Das Programm ist nicht sichtbar. Die Datei scrnsave.scr stammt von Microsoft und vertrauenswürdig. Deshalb bewerten wir diese Datei zu 2% als gefährlich.


Hinweis: Viren und andere schädliche Dateien können sich als scrnsave.scr tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess scrnsave.scr auf Ihrem PC um einen Schädling handelt. Möchten Sie die Sicherheit Ihres PCs überprüfen, so empfehlen wir Ihnen die Software Security Task Manager.


gefunden bei: http://www.file.net/prozess/scrnsave.scr.html

Sein File heißt aber Scrnsave.exe und nicht Scrnsave.scr!

Hach wie schade, als ich eben Emails abholte und sah das es 2 Antworten auf mein Thread gab war ich schon überglücklich... und jetz das

Naja, wie gesagt, ist ja scheinbar keine akute Bedrohung aber es wirkt halt doch ein wenig seltsam.

Hast du die Scrnsave.exe schon ausfindig machen können? Vielleicht reicht es, wenn du sie einfach löscht, oder vorsichtshalber erstmal verschiebst?

Nope, hab das File immernoch nicht gefunden. Wie gesagt, es wurde auch speziell nach versteckten, System- und Archiv-Dateien gesucht. Auch die Anzeige versteckter Dateien etc. ist aktiv. Aber weder ich noch die Windows-Suche finden das File. Aber weiterhin bleibt das Problem, sobald ich mit dem MediaSource ein Video abspiele, sagt Spybot (mittlerweile als Regel festgelegt), das die Anwendung blockiert wurde, als sie versuchte Änderungen vorzunehmen.

Hast du auch andere Software wie Ad-aware durchlaufen lassen?

Jepp, Adaware, Spybot, Antivir (steht auch alles im ersten Post ^^).

edit: mh, seltsam seltsam: grade eben hatte ich das Problem noch, jetz wollte ich mal nach der Datei suchen lassen wärend ein Video abgespielt wird (vlt. hätters ja dann gefunden), und nun geschieht nichts mehr wenn ich nen Vid abspielen will. Wie als hättes das Prob nie gegeben. Das kleine Teil scheint genau zu wissen was ich vorhab

Naja, kann sich wohl spätestens nur um einen Neustart handeln, dann isses wieder da.

Du hast das doch schon als Regel definiert mit Spybot, deshalb wird es selbstständig blockiert und du bekommst das dann nicht mehr mit.

Jop, hab ich, allerdings teilt mir Spybot dann trotzdem mit, das es blockiert wurde. Also ich muss nicht mehr sagen "Ja/Nein" - Die Nachricht erhalte ich aber trotzdem. Und genau dieser Dialog kommt eben auch nicht mehr, kam aber vor vlt. ner halben Stunde zuletzt schon ^^

Ralf B. schrieb:

Sein File heißt aber Scrnsave.exe und nicht Scrnsave.scr!

Zum Vergrößern anklicken....

.scr Dateien sind .exe Dateien!
Wahrscheinlich zeigt Spybot das falsch an.

Es koennte sich allerdings auch um den Wurm hier handeln

http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.antiman.e@mm.html

Naja, selbst wenns, wie ich auch schon mal vermutet hatte (s. erster Post) die SCR-Datei wäre oder sich das Ding selbst umbenennt - warum sollte dann Virustotal nen Virus aus Mitte 2005 nicht erkennen?