teelittle
Goto Top

Win 7: explorer.exe trägt aktuelles Datum - manipuliert oder OK? - Hash verfügbar?

Hallo,

auf meinem Windows 7 Pro x64 System gibt es eine Datei c:\windows\explorer.exe, die ein aktuelles Datum trägt (Jan / Feb. 2016).
Da das System letztes Jahr installiert wurde, die explorer.exe eine Systemdatei ist und ich mit eingeschränktem Benutzerkonto arbeite, sollte diese Datei nach meinem Verständnis im Auslieferungszustand sein - es sein denn, sie wurde von Windows Update aktualisiert (weiß jemand da etwas drüber - habe bei MS noch nichts gefunden, aber auch nicht zu tief gegraben).

C:\Windows>dir ex*
22.01.2016  06:19         3.231.232 explorer.exe
----------------
MD5: 9d77cc4a36feea644d002cfb9b2d42c0
SHA1: 762a6d1e2d185c4c57ca54baa38bc59363d7677a
SHA2: 829aa981cfdd811e84c05d09e20a5f305d720361af570bcccc119f99456c75f2
Die Details in der Dateiansicht behaupten, es handele sich um Dateiversion "6.1.7601.19135"
Kann jemand bestätigen, dass sie/er diese Datei auch im eigenen Systemverzeichnisliegen hat, und dies anhand der Hashs oben nachprüfen?

Ich verwende HashCeck v2.2.3.6/x64, um in Dateieigenschaften des Windows Explorers einen zusätzlichen Reiter "Prüfsummen" angezeigt zu bekommen - nach meinem Verständnis ist das aber nur eine DLL, die die explorer.exe nicht modifziert, oder?

Danke für hilfreiche Hinweise - zur Zeit wittert man ja schon Gefahr, wenn die nur die CPU-Auslastung Sprünge macht...

Content-ID: 296988

Url: https://administrator.de/contentid/296988

Ausgedruckt am: 04.12.2024 um 08:12 Uhr

119944
119944 22.02.2016 um 12:53:38 Uhr
Goto Top
Moin,

lad die Datei doch mal bei Virustotal hoch:
https://www.virustotal.com

Meine explorer.exe hat ein Datum vom 28.01.2015 aber keine Ahnung wann sich dort das Datum ändern sollte.

VG
Val
Dilbert-MD
Dilbert-MD 22.02.2016 um 13:03:59 Uhr
Goto Top
hallo t,

bei mir WIN 7 64 Pro:
2.871.808 Bytes
2.875.392 Byte (Auf dem Datenträger)
geändert: 02/2011
erstellt: 03/2015
Dateiversion 6.1.7601.17567

Gruß
Holger
kaiand1
kaiand1 23.02.2016 um 06:17:21 Uhr
Goto Top
Meine ist Erstellt am 03.02.16 22:46
und hat Folgenden Hash
MD5 9D77CC4A36FEEA644D002CFB9B2D42C0
SHA1 762A6D1E2D185C4C57CA54BAA38BC59363D7677A
SHA512 7FC758C25923BC94CFE4F9583DDA44BCAE348EF06E232882ECD9A3273077547F434B28B7BBB938426869136894C392B7D2194C2ACBCCD9F524892E649C8C5A34

Und der SHA1 stimmt mit deinen Überein..
Entweder ist die Sauber (was der Lokale Virenscanner auch der Meinung ist) oder es ist Infiziert und Schlummert noch xD
TeeLittle
TeeLittle 23.02.2016 um 11:02:25 Uhr
Goto Top
Aber es ist doch schon komisch, dass das Datum von Systemdateien geändert wird, oder?

Wenn es sich nicht um ein Virus handelt, kann ich mir das Phänomen nur so erklären, dass die Datei durch ein Windows Update aktualisiert wurden - aber da würde ich erwarten, dass die komplette Datei durch eine andere Version ersetzt wird, so dass danach alle User das gleiche Datum der neu eingespielten Datei sehen (MS gibt in seinen KB-Notizen ja manchmal die enthaltenen Dateien an, und die haben neben einer Versionskennung auch ein bestimmtes Datum, das sich beim Einspielen auf den lokalen Rechner nicht ändert)...

Weiß da jemand etwas drüber?
TeeLittle
TeeLittle 23.02.2016 um 11:03:30 Uhr
Goto Top
Hi Valexus,
danke für den Tipp - sofort ausprobiert: der Hash ist dort schon bekannt und gilt als clean.
Dilbert-MD
Dilbert-MD 24.02.2016 um 23:16:33 Uhr
Goto Top
Nachtrag:
51541be26c1436caf3785db528dcc4d0

Größe: 3.231.232 Bytes (aktuell eben ausgelesen)
Erstellt: heute
Heute: Updates installiert "

adf65c764d94273ce2964ee3a54e92ee
Dilbert-MD
Dilbert-MD 25.02.2016 um 21:35:21 Uhr
Goto Top
N'Abend zusammen !

Nachschlag zum Thema Explorergröße.

Ich hatte heute noch einen Laptop (Ersatzgerät), der im November 2015 das letzte Mal gepatcht wurde - lt. meiner handschriftlicher Liste in der Tasche.

Gestern abend habe ich Updates suchen lassen. Das hat schon mal sehr lange gedauert, aber da ich wusste, dass nach den letzten Updates alles OK war und das Geräts seit dem nicht genutzt wurde, ließ ich die Update-Suche einfach laufen und habe mich in der Zeit um die anderen Geräte gekümmert.
Die Aktionen aus diesem Thread
Neu aufgesetztes Windows 7 Home Premium installiert keine Updates
waren nicht erforderlich, um die Updates zum Installieren zu bewegen. Hat nur ewig gedauert.

Interessant ist, dass die Update-Suche angezeigt hat, dass NOCH NIE Updates gesucht wurden. Falschmeldung von Windows! Installation war 07/2013, danach gleich alle aktuellen Updates, darauffolgend 24 (handschriftlich) protokollierte Update-Sitzungen. Ja, ich führe eine Liste!

Heute also die Updates - die gestern gefunden wurden, 32 Stück, installiert + 2 Nachinstallationen. Während der Updates wurde die explorer.exe nicht geändert. Klar, weil benutzte Systemdatei. Aber gleich nach dem Neustart lag die geänderte/ersetzte explorer.exe vor. Windows sagt, sie wurde geändert am 22. Januar 2016. Da war das Gerät definitiv aus. Ergo kommt die neue explorer.exe aus den Februar-Updates.
Komisch nur: Der Updateverlauf zeigt NUR die ca. 32 neuen Updates an. Auch nach einem Neustart. Eine Updatesuche zeigt aber auch nur eine hanvoll optionaler Updates. Bei den anderen PC's mit Dez.- und jan.-Updates ist alles OK.

Ich habe zu hause noch einen Laptop ohne Februar-Updates. Da werde ich mal schauen, aus welchem Update die neue explorer.exe genau kommt. Muss dazu nur alle Updates einzeln installieren.


cc7ae16051c8b6d7bd578de5cd4c2702
Explorere.exe vor den Updates

9eb17cff2f7dce8693a99810f9e09f18
Explorer.exe nach den Updates

064d7b3fdf0b95fe406a3d77cf9b8d4b
Suche nach Updates


Sitze gerade am laptop zu hause und der sucht die Updates. Dauert schon ca. 1 Stunde. Ich lass es mal laufen und berichte gegebenfalls.

Gruß
Holger
Dilbert-MD
Lösung Dilbert-MD 28.02.2016, aktualisiert am 29.02.2016 um 12:35:59 Uhr
Goto Top
Guten Abend zusammen.

ich habe, wie hier beschrieben, die Lösung gefunden, warum sich die Dateigröße der explorer.exe ändert und das ist auch der Grund, dass für diese Datei ein aktuelles Datum angezeigt wird:

5b066c798d8b9a1e6a9d4f6a4ccf8803
Es sind noch 2 verbleibende Updates. Das GWX-Update wird ausgeblendet, bleibt noch eines übrig.
Diese wurde installiert, mit anschließender Aufforderung zum Neustart.

Die neue Dateigröße:
facc349a6136575912eae3bdf6528498

Fazit:
Die neue Dateigröße der Datei C:\Windows\explorer.exe entstammt aus dem Update KB 3123862 vom o9. o2. 2o16.

Infos zum Update:
https://support.microsoft.com/de-de/kb/3123862
Leider steht auf der Support-Seite nicht, dass sich mit diesem Update die explorer.exe ändert.