Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.02.2017, 03:00   #1
svnupa
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Hallo allerseits,

ich bin neu hier und möchte schon einmal im Vorfeld kurz Danke sagen!!

Derzeit verzweifle ich an meinem System, bisher konnte kein Virus lokalisiert werden... ABER!!

Betrieben wird mein Rechner mit zwei Festplatten: Windows Vista 64bit + Windows XP 32bit.
Über EasyBCD ist ein Bootmanager konfiguriert, den ich auch zum Aufruf von WinXP verwende.

Vor einigen Wochen habe ich bei dessen Start (WinXP) das erste Mal eine Fehlermeldung erhalten.
Die Datei NTOSKRNL.EXE sollte nicht auffindbar sein. Durch Rückspielen der EasyBCD Sicherung, konnte ich mir Abhilfe verschaffen.
Wirkte aber nur bis der PC aus war, danach wurde der Fehler wieder gemeldet und so weiter (Warmstarts änderten nichts) ...

Nun habe ich zufällig festgestellt, die Systemdatei NTOSKRNL.EXE (WinVista) läßt sich aus dem System heraus nicht zu VirusTotal hochladen.
Dies scheint mir ungewöhnlich zu sein, da der gleiche Vorgang unter Windows XP und Windows 7 64bit (anderer Rechner) möglich ist.
Über desinfect 2016 war der Upload möglich, aber auch hier kein Virusfund!
Jedoch meldet VirusTotal keinen Trust Source, sondern nur: Probably harmless! There are strong indicators suggesting that this file is safe to use.

Da ich über mehrere Systemsicherungen verfüge, habe ich heute früh die Brechstange verwendet und das OS versucht testweise neu einzuspielen.
Vor der Installation wurden alle internen Datenträger mit dc3dd überschrieben (desinfect).
Nach Installation von Windows Vista ist die NTOSKRNL.EXE aus dem Jahr 2006.
Mit Einspielen des Service Packs 1 wird diese aktualisiert (Erstellungsdatum ändert sich auf heute).
Ab hier ergibt die Prüfung mit GMER NTOSKRNL.EXE suspicious modification.
Vor der Installation des Service Packs erhalte ich keinen Netzwerkzugriff, dafür gibt GMER aber auch keine Änderungen an der NTOSKRNL.EXE zurück.
Mit dem ersten Netzwerkzugriff kann ich bei VirusTotal die Datei schon nicht finden.
Weitere Versuche habe ich dann auch nicht mehr unternommen und bin jetzt auf eine Sicherung aus Juni 2016 zurückgesprungen. Gleiches Problem!

Da ich annehme, diese Probleme kommen nicht von irgendwo her, tippe ich auf einen speicherresistenten Bootvirus der verschlüsselt im System/Kernel liegt.
Eine Neuinstallation wäre nicht mein Problem, der Erfolg hielt sich bisher aber ja leider in Grenzen
U.a. verwende ich einige externe Datenträger, dessen gespeicherten Daten mir am Herzen liegen. Auch diese könnten betroffen sein.

Ich verwende Avast Antivirus free und Emsisoft Emergency Kit in Kombination (keine Meldungen).
Illegale Software verwende ich nicht.
Gmer meldete (wie bereits erwähnt) NTOSKRNL.EXE suspicious modification.
aswMBR.exe meldet keine Virusfunde und der MBR ist auch original.

Brauche dringend Hilfe!! Verzweifel hier

Auch Erfahrungswerte zu den genannten Problemen könnten weiterhelfen.

Vielen Dank!!
svnupa

PS: Bitte auch kurze Info geben, wie ich ggf. Logfiles einbinden muss (über Anhänge??).

Alt 12.02.2017, 16:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Hi,

Zitat:
Betrieben wird mein Rechner mit zwei Festplatten: Windows Vista 64bit + Windows XP 32bit.
Über EasyBCD ist ein Bootmanager konfiguriert, den ich auch zum Aufruf von WinXP verwende.
Vergiss es, diese beiden Uralt-Systeme wieder gefund zu pflegen. XP ist seit 2014 end of life, Vista wird es in wenigen Wochen sein. Der Zug ist da abgefahren. Statt also Zeit mit diesen toten Systemen zu verbringen wäre sie besser in Datensicherung und Umstellung auf ein neues OS investiert.

Beachte dass Windows 7 auch nur noch drei Jahre Support und tw. massive Probleme beim Updaten hat, die sich nicht immer lösen lassen. Windows 7 als neue Installation wäre daher eher eine Notlösung. Wenn dein Rechner zu alt für ein aktuelles Windows ist, ist eine Linux-Distro wie zB Ubuntu MATE eine exzellente Alternative.

XP und Vista jedenfalls können keine Option mehr sein.


Lesestoff:
Sicherheitsrisiko durch Windows Vista

Auf deinem Rechner läuft noch Windows Vista. Microsoft hat dieses Betriebssystem bereits 2006 veröffentlicht und stellt den Support endgültig ab April 2017 ein, d.h. ab Mai 2017 gibt es keine weiteren Updates mehr und danach gefundene Lücken werden nicht mehr durch Updates/Hotfixes geschlossen werden können.

Voraussetzung für den Support deiner Vista-Installation sind das Service Pack 2 und der für Vista letzte unterstützte Internet Explorer (IE9). Neuere IE-Versionen (IE10/IE11) oder gar der IE-Nachfolger edge sind unter Vista nicht möglich. Es kann passieren, dass viele Virenscanneranbieter Windows Vista in Kürze nicht mehr berücksichtigen und du somit auch nicht mehr deinen favorisierten Virenscanner verwenden kannst, zB Emsisoft siehe https://helpdesk.emsisoft.com/Knowle...gefuhrt-werden

Auch bei künftigen Browsern muss man damit rechnen, dass diese unter Vista nicht mehr funktionieren; bei Google Chrome ist das ab Version 50 also seit April 2016 der Fall vgl. https://heise.de/-3174788

Mozilla hat ebenfalls angekündigt, den Support für Vista (und auch XP) zu beenden siehe https://heise.de/-3581908


Mit Windows Vista nach April 2017 zu surfen wird damit ein großes Sicherheitsrisiko. Ich rate dazu, Vista umgehend durch ein aktuelleres OS zu ersetzen.
__________________

__________________

Alt 12.02.2017, 21:15   #3
svnupa
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Danke für die Hinweise. Trotzdem ist mit einer Neuinstallation das Problem nicht behoben.
Hier habe ich es mit einer wesentlich tiefgründigeren Problematik zu tun.

Habe heute eine Neuinstallation auf Windows 7 Basis versucht.
Das Ergebnis war genauso ernüchternd wie zuvor.
Ab Win7 hat der Virus offenbar "gelernt" und verschlüsselt nun die NTOSKRNL.EXE.
Jetzt lässt sie sich zu VirusTotal uploaden, aber diese Datei ist gefälscht.
Bei Upload der File weicht die Größe von der Originaldatei im Windows-Explorer ab.
Auch die SHA.256 sind nicht gleich. Jetzt habe ich ein eindeutiges Ergebnis.

Nun muss ich entweder meine Hardware vollständig wechseln, oder herausfinden wo der Virus abgelegt ist.

Vielleicht hat jemand Erfahrung damit gemacht und kann helfen.

Grüße,
svnupa
__________________

Alt 12.02.2017, 22:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Zitat:
Das Ergebnis war genauso ernüchternd wie zuvor.
Ab Win7 hat der Virus offenbar "gelernt" und verschlüsselt nun die NTOSKRNL.EXE.
Das ist totaler Blödsinn. Kein Schädling überlebt eine Neuinstallation von der Windows-DVD.
Es gibt auch überhaupt keinen Grund, von einem frisch neu installierten System irgendwelche Bestandteile auswerten zu lassen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.02.2017, 21:24   #5
svnupa
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Okay, okay ... ist ja gut ... scheint doch nur ein Fehlalarm gewesen zu sein.

Die Abweichungen treten bei allen Windows 7 Systemen auf, wenn man den IE benutzt.
Im Chrome werden die Dateigrößen übrigens korrekt dargestellt.

Alles schon ziemlich verwirrend, wenn die NTOSKRNL.EXE zuvor Probleme beim Systemstart machte.
Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.

Trotzdem danke für die Hilfe. Bis zum nächsten wirklichen Virusfund !!

Gruß,
svnupa


Alt 15.02.2017, 10:04   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Zitat:
Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.
Dazu kann sich keiner äußern weil du weder VT-Links noch Prüfsummen oder andere Details gepostet hast.
__________________
--> NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!

Alt 15.02.2017, 10:04   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Zitat:
Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.
Dazu kann sich keiner äußern weil du weder VT-Links noch Prüfsummen oder andere Details gepostet hast.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.02.2017, 21:08   #8
svnupa
 
NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Standard

NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!



Hat sich aufgeklärt. Die Unterschiede ergeben sich aus dem Einsatz des 32/64bit Browsers.
Dann ist auch egal, ob es sich um IE, Chrome oder Firefox handelt.

Antwort

Themen zu NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!
antivirus, avast, datei, dringend, fehlermeldung, festgestellt, festplatte, file, free, gmer, installation, logfiles, neu, ntoskrnl.exe, problem, probleme, software, system, virus, virustotal, vista, windows, windows xp, winxp, zufällig



Ähnliche Themen: NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!


  1. Nicht sicher ob Virus oder nicht? PC verhält sich seltsam
    Plagegeister aller Art und deren Bekämpfung - 05.01.2017 (2)
  2. zip-Datei in Email geöffnet - war unter c:\Users\Name\AppData\Local\Temp\Temp1_Name03.11.2016.zip gespeichert - Aufruf nicht möglich-Netzwer
    Log-Analyse und Auswertung - 06.11.2016 (46)
  3. Seltsames Verhalten Chrome unter OSX Mavericks
    Alles rund um Mac OSX & Linux - 16.11.2014 (9)
  4. GVU Virus Reparaturmodus unter Win 8 nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 17.01.2014 (4)
  5. GVU Virus unter Win 8 Reparaturmodus nicht möglich
    Alles rund um Windows - 10.01.2014 (1)
  6. Win 8.1 64bit, Computer gesperrt mit Trojaner (GUV?) nach Übernahme, Neuinstallation etc. nicht möglich
    Log-Analyse und Auswertung - 21.12.2013 (5)
  7. Probleme mit Snap.do unter Windows8, 64bit
    Log-Analyse und Auswertung - 29.09.2013 (16)
  8. GVU Trojaner 2.12 unter Win 7 - 64Bit
    Plagegeister aller Art und deren Bekämpfung - 15.07.2013 (26)
  9. GVU Trojaner unter Vista 64Bit
    Log-Analyse und Auswertung - 05.03.2013 (11)
  10. WinVista: GVU-Trojaner, Version 2.10, kein Abgesicherter Modus möglich gewesen, Logfiles bereits erstellt
    Log-Analyse und Auswertung - 29.12.2012 (35)
  11. GVU Trojaner eingefangen unter Win7 64bit
    Log-Analyse und Auswertung - 23.07.2012 (19)
  12. Internetseiten verhalten sich seltsam.
    Log-Analyse und Auswertung - 10.07.2012 (4)
  13. Browser leitet falsch weiter,Wörter falsch,kein Download bzw. Hochladen möglich
    Plagegeister aller Art und deren Bekämpfung - 19.02.2011 (14)
  14. sshnas21.dll unter Win7, 64bit
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (6)
  15. Kann datei nicht auf Virustotal hochladen
    Antiviren-, Firewall- und andere Schutzprogramme - 13.08.2010 (1)
  16. Mbr auslesen unter Win7 64bit
    Alles rund um Windows - 04.03.2010 (7)
  17. Anmeldung unter Benutzername nicht möglich
    Log-Analyse und Auswertung - 03.11.2007 (3)

Zum Thema NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! - Hallo allerseits, ich bin neu hier und möchte schon einmal im Vorfeld kurz Danke sagen!! Derzeit verzweifle ich an meinem System, bisher konnte kein Virus lokalisiert werden... ABER!! Betrieben wird - NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam!...
Archiv
Du betrachtest: NTOSKRNL.EXE unter WinVista 64bit -- Hochladen nicht möglich -- Verhalten seltsam! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.