|
Plagegeister aller Art und deren Bekämpfung: Änderungen in C:\WINDOWS\system32\ntoskrnl.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2008, 19:23 | #1 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe guten tag alle zusammen. ich habe heute ein windows update installiert und danach wie immer das system neu gestarten. ich habe windows xp btw. nachdem ich aber neu gestartet habe springt die sygate firewall an und sagt das in "C:\WINDOWS\system32\ntoskrnl.exe" eine äderung vorgenommen wurde und fragt mich, ob ich dieser datei den internet zugang gewären soll. jetzt meine fage: ist das normal und kann es irgendein problem von windows oder gar ein virus gewesen sein? sagt bescheid falls ihr highjackthis logs oder sonstiges braucht... |
20.10.2008, 07:56 | #2 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hallo radiowave
__________________Es ist eigentlich normal, dass nach einem Patch eine Datei geändert wird und diese jetzt bemängeld wird. Du könntest aber zur Sicherheit mal ein HijackThis Log posten. |
20.10.2008, 14:10 | #3 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe ok, also hier ist der highjackthis log
__________________Logfile of HijackThis v1.99.1 Scan saved at 15:07:10, on 20.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Programme\Windows Media Player\wmpnetwk.exe C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS\Explorer.EXE C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\SMSC\SetIcon.exe C:\Programme\Home Cinema\TV Enhance\TVEService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe C:\Programme\Valve\Steam\Steam.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Eraser\eraser.exe C:\Programme\Exif Launcher\QuickDCF.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\qip\qip.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Welcome to ALDI R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe" O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c " O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [actdb] C:\WINDOWS\system32\ibkhmpwv.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1160402350437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1161001832152 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CSIScanner - Unknown owner - C:\Programme\PrevxCSI\prevxcsi.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe so, das ist er. danke für die hilfe. |
21.10.2008, 12:26 | #4 | |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hi Da sind einige Dateien vorhanden, die ich nicht kenne. Bei Google wurde ich auch nicht fündig. Lade diese mal bei Virustotal hoch und poste das Ergebnis. Zitat:
|
21.10.2008, 18:05 | #5 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe ok. ich werde mal den highjack log und diese datei zu virus total posten. was mit gestern auch aufgefallen ist, ist dass die explorer.exe auf das internet zugreifen wollte und meine sygate firewall mir irgendwas von "MAC-Spoofing" gesagt hat... danke für jede weitere hilfe |
21.10.2008, 18:18 | #6 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe oh, ich wusste gar nicht, dass das SO bei virus total läuft. äh, naja. ich wollte sie posten, aber ich kann die datei nicht finden... scheinbar ist sie irgendwie weg. ich hab auch grad nochmal einen highjackthis scan gemacht und hab die datei immernoch gesehn... ich hab keine ahnung was da los ist... |
22.10.2008, 13:46 | #7 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hi Hast du versteckte Dateien sichtbar gemacht? Schau dir mal das an: Versteckte Dateien sichtbar machen Da den 2. Abschnitt. Du könntest auch die Zeile direkt eintragen. |
22.10.2008, 17:10 | #8 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe das hab ich schon gemacht, aber die datei kann nicht gefunden werden. auch nicht in der suchoption. gibt es noch irgendeine andere möglichkeit die datei zu finden? |
23.10.2008, 09:24 | #9 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hast du auch versucht, die Datei aus meinem Post 4 direkt so in die Hochladezeile einzutragen. Was hast du gemeldet bekommen nach Betätigung von Senden der Datei? |
23.10.2008, 13:48 | #10 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe ich kann doch nur eine datei hochladen, die ich auch im pc finde. ich kann in die upload zeile nichts reinkopieren. ich muss mein system nach der datei durchsuchen und die datei an sich dann hochladen. aber die datei finde ich ja nicht. sie ist einfach nicht da. ich hab schon alles versucht sie zu finden, aber sie ist einfach nicht da. .d.h. ich kann sie nirgens uploaden, damit sie überprüft wird. das ist doch sehr merkwürdig... aber ich hab gestern was festgestellt, und zwar war mein pc schonmal befallen (siehe "http://www.trojaner-board.de/61917-trojaner-tr-fakeav-bak-2-a.html") das ist das mit diesem rotem symbol in der tatskleiste gewesen. von dem auch andere hier betroffenen waren. auf jedenfall hab ich das alles schon hinter mir, habe aber trotzdem mal von einem virenscanner einen screenshot gemacht, als der pc noch befallen war und dort, was ich gestern zufällig gesehn hab, taucht auch diese datei auf... sie müsste also eigentlich gelöscht worden sein. bringt diese information vielleicht aufschluss? |
24.10.2008, 10:39 | #11 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hi Also ich kann in diese Zeile bei Virustotal eifach was mit der Tastatur reinschreiben. Versuch doch mal die Zeile aus meinem Post 4 zu markieren, dann Strg+C. Gehe zu Virustotal und dort in die Eingabezeile klicken und Strg+V drücken. Nennt man auch Copy+Paste. |
26.10.2008, 19:54 | #12 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe mh, komisch, sobald ich auf das freie feld klicke, öffnet sich bei mir die "durchsuchen" funktion und eigene dateien werden geöffnet um ne datei hochzuladen. also ich kann da nichts reinkopieiren. und um nochmal zurück zum thema zu kommen. wie ja schon gesagt, wollte der kernel auf das internet zugreifen und mir wurde eben wie schon gesagt angemerkt, dass sich was verändert hat. ich hab jetzt heute morgen einfach mal auf "ja" geklickt, als ich KEINE INTERNETVERBINDUNG hatte (nur zur sicherheit eben). jetzt kommt die nachricht nicht mehr... ich hoffe ich hab das richtige gemacht... und nochwas ist nach meinem schon vergangenen virusbefall passiert, und zwar ist meine auslagerungsdatei seit dem zeitpunkt immer so bei 1GB (ich habe 1GB RAM), jedoch bleibt die systemauslastung im normalen bereich und trotzdem braucht der pc für sachen länger als sonst... hat das alles vielleicht auch mit dieser datei oder den meldungen zu tun? |
26.10.2008, 19:57 | #13 |
Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hi, damit ihr euch nicht die Köpfe zerbricht: So kannst du schauen, ob die Datei überhaupt existent ist =>
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
28.10.2008, 11:54 | #14 | |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe Hi radiowave Dann machen wir erst mal weiter. Führe noch mal HijackThis aus und dort Do a system scan only. Dann mach in folgenden Zeilen einen Haken in die entsprechende Zeile: Zitat:
Dann mach noch mal einen neuen HijackThis Log, aber mit der neuen Version v2.0.2 |
29.10.2008, 19:11 | #15 |
| Änderungen in C:\WINDOWS\system32\ntoskrnl.exe [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Themen zu Änderungen in C:\WINDOWS\system32\ntoskrnl.exe |
brauch, c:\windows, datei, firewall, gen, gestartet, guten, heute, highjack, highjackthis, installiert, internet, neu, ntoskrnl.exe, problem, sygate, system, system neu, system32, update, virus, windows, windows update, windows xp, zugang, Änderungen |