GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK
 

Hallo!
ich habe ein Problem mit dem Entseuchen eines Rechners. Andere Trojaner und Rootkits konnte ich mittels GMER/Rkill/Malwarebyte'sAnti-MalMare schon bereinigen, hier beiße ich mir aber die Zähne aus.
System: Windows 7 32bit
Problem:
- MBR ist i.O.
- Virenscanner zeigen nichts (zu richten) an
- Rkill zeigt nichts (weiteres zu killen) an
- Malwarebyte'sAnti-MalMare zeigt nichts (zu richten) an
- GMER erkennt keinen Rootkit. Aber erkennt unter "Sections" Verbiegungen, die, wenn ich Recode ausführe, zum Absturz führen (-> MEMORY_ERROR o.ä.)
- ESET Online Scanner bekommt per Internet keine updates

Mittlerweile habe ich den SPTD-Treiber 1.78 von Deamon-Tools entfernt/deinstalliert, trotzdem sind noch versteckte(?) Registry-Einträge im sptd-services-Zweig. Jetzt weiß ich aber nicht, ob das (einfach "nur") ein Sekundärproblem ist. Möglicherweise war das das Einfallstor.
Jedenfalls läuft hier etwas, was alle neuen Programme hooked, die gestartet werden - was man mit einem GMER(Sections)-Scan recht leicht sieht.
Bitte um Hilfe! :)
LOGS: (Benutzername -> *USERNAME*)
catchme bringt folgendes:
GMER:
OTL offline scan

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL - wenn Du normal starten kannst (also im normalen Modus arbeiten), bitte nicht mit OTLPE arbeiten!

Sondern lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
kira

Virenscanner (MS Security Essentials) habe ich temp ausgeschaltet.
Mit GMER hab ich ja gestern wie gesagt versucht, die Pointer von ntkrnlpa.exe zu "Recode"n, was nach ein paar Sekunden mit einem Bluescreen quittiert wurde.

1. Systemscan mit OTL:
OTL.Txt
Extras.Txt
zu 3.: Installierte Programme
install.txt von CCleaner. Btw, was steht da, was nicht schon in der Extras.Txt unter "HKEY_LOCAL_MACHINE Uninstall List" steht? :confused:
Weiteres:
mbr.exe mbr.log
MBRCheck
catchme.exe als Admin:
GMER zeigt nach dem Start (momentan) nichts an.
GMER Sections Scan:
Die Zeile mit mbr.sys ist erst nach dem Start von mbr.exe oder MBRCheck.exe dazugekommen.
Wenn neue Programme gestartet werden, werden die manchmal gehooked: Notepad, Windows Media Player, HashCalc, Calc zB nicht, aber Firefox, Thunderbird und Virenscanner aber schon.
Insbesondere der Internet Explorer 9. Siehe:

► Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung!
► Gibt es Probleme beim alltäglichen Einsatz mit dem Rechner?

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:
(alle vorhandenen Protokolle)

► Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung!

Zum Teil (öfters nach Warcraft 3 spielen) bekommt die TAB-Taste nen Hänger und geht auf "Dauerfeuer".

► Gibt es Probleme beim alltäglichen Einsatz mit dem Rechner?

Nein. Bis auf das Einklinken in nahezu alle Prozesse... :eek:

> Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Ich habe neben Malwarebytes, ESEC Online Scanner auch noch mit Kaspersky und MS Sec Ess nach Viren gescannt und auch den tdsskiller(Kaspersky) benutzt.
Unisono: NULL gefundene Infektionen. Es ist scheinbar alles normal. Müßig, da die logs aufzuheben. :(

Aktuelle Logs:
OTL:
aswMBR:
Wie gesagt, habe ich schon etliche Programme durchlaufen lassen. Die facemoods-Verbiegungen der Browser sind auch weg - können aber auch nicht ursächlich gewesen sein, weil ja schon vorm Browser-Start das Teil aktiv ist (siehe GMER) und alle Folgeaktionen verhindert oder verschleiert werden.
Ich möchte auch nochmal auf den versteckten Registry-Zweig im (nicht mehr installierten!) sptd-Dienst hinweisen. Der Pfad war "rot" und nicht zu entfernen. Ich weiß jetzt nicht mehr, welches Programm das angezeigt hatte.
Auch ist folgendes interessant:
OTL:
- O16: warum wird java 3x geladen. Kennt jemand die gültigen JAVA-GUIDs?
- O20: was sind das für VMApplet-Einträge? Ich habe keine VM installiert.
- was sind das für api-ms-win-* Einträge vom 2011.08.13. Warum sind die hidden?
Auch kann rkill zwar "alles", d.h. alle User-Prozesse killen, aber nicht die Verbiegungen am ntkrnlpa.exe d.h. irgendwo vorher muss sich das Teil schon eingeklinkt haben - oder vielleicht sogar Systemdateien ersetzt haben, um dann beim check gültige Hashwerte zurückzugeben.

Grüße
shh

- O16: warum wird java 3x geladen. Kennt jemand die gültigen JAVA-GUIDs?
für die Signaturen werden ActiveX-Steuerelemente verwendet, grundsätzlich kann man die löschen, bei Aktualisierung wird erneut installiert
- kannst für Java von Oracle, Update 27 installieren, momentan ist aktuell:-> Oracle

- O20: was sind das für VMApplet-Einträge? Ich habe keine VM installiert.
klick:
-> http://technet.microsoft.com/en-us/l.../cc939863.aspx
-> http://technet.microsoft.com/en-us/l.../cc939702.aspx

- was sind das für api-ms-win-* Einträge vom 2011.08.13. Warum sind die hidden?

Hidden heißt, versteckte (verborgene) Objekte, sollten für Unbefugte verborgen bleiben;)


1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

► berichte erneut über den Zustand des Computers (kurz aber möglichst genau) . Ob noch Probleme auftreten, wenn ja, welche?

Danke für die Antworten, aber die gehen leider am Thema vorbei. :(
Das Hauptproblem ist ja wie im Titel schon angegeben: ntkrnlpa.exe!ZwSaveKey + 13D1 ... und das hooken der ganzen Prozesse insbesondere IE9. Siehe GMER Sections scan.
Gibt's hier einen GMER-Spezialisten, der das klären kann?

> Hidden heißt, versteckte (verborgene) Objekte, sollten für Unbefugte verborgen bleiben

Öhm, das war ja wohl klar. :)
Noch mal zu Satz 1 von der Frage. Was ist das, und konkret: Wer hat die am 13.8.2011 installiert?

Das sind nur search-plugins, die möchte ich gerne behalten. Facemoods-search hab ich entfernt; geht in FF auch via "Suchmaschinen verwalten"

Hab CCleaner nochmal laufen lassen, hat nichts zu richten gefunden. Ich möchte auch mal behaupten, dass das tool auch nicht das richtige dafür ist, um verborgene Dienste aufzudecken.

► berichte erneut über den Zustand des Computers (kurz aber möglichst genau) . Ob noch Probleme auftreten, wenn ja, welche?

Der TAB-Dauerfeuer Fehler ist noch nicht wieder aufgetaucht. Tritt aber auch nur 1,2 mal die Woche auf. Mal schaun.
Vor ner Stunde gab's nen Absturz, da konnte der PDF-Drucker nicht aufs Temp-Verzeichnis zugreifen -> Bluescreen, Neustart.

Grüße
shh

NACHTRAG:
Siehe: hxxp://www.bleepingcomputer.com/forums/topic362427.html/page__view__findpost__p__2048162
Scheinbar bringt GMER öfters die Meldung für ne modifizierte DLL. In dem thread meint m0le, das GMER.log wäre sauber, obwohl modifizierte DLLs doch ein sicheres Indiz für nen rootkit sind. Mein GMER.log sieht übrigens exakt genauso aus.
Hmm, woher kommt die DLL-Modifikation?

Ich denke das muss ein Treiber Problem sein!

zur Nachkontrolle:
lade zusätzlich noch das Tool HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

> Ich denke das muss ein Treiber Problem sein!

Was meinst du wäre ein Treiber-Problem?
- ntkrnlpa.exe ist ein Systemprozess auf den kein Treiber normal Zugriff hat.
- Der ATI-Treiber (= atikmdag.sys) ist der aktuellste, den es für die Grafikkarte gibt. Das war es damals für die 3D-Beschleunigung so üblich, Speicherbereiche schreibbar zu lassen. Der ATI-Treiber ist übrigens auch in der SafeList, siehe GMER.txt.

Grüße
shh

Bei Installation werden oft "ungefragt", ohne Einwilligung der Benutzer Programme (die nicht allzu saubere Programmierung und dadurch ausgelöste Nebenwirkungen bekannt), Erweiterungen, unsichtbare Treiber und alle mögliche installiert. Die Installation läuft im Hintergrund ab, ohne dass der User darüber informiert wird! Darunter Microsoft und diverse Spiele sind auch keine Ausnahmen!

Das Tool Gmer auch kein "Gott" und "Indiz" für Rootkit gibt es mehr wie genug, u. a.ausgelöst von Prozessen (verdächtige Verhaltensmuster, die folglich als harmlos anzusehen sind), die den Kernel manipulieren.. Nehmen wir gleich als Beispiele, einfaches Emulationsprogramme wie z.B Daemon Tools oder Alcohol
Beinhaltet Funktionen, die auch Rootkits benutzen, oder wie Alcohol, verwendet Rootkit-Techniken, um sich vor Kopierschutz-Programmen zu verstecken.

Fakt ist:
Je mehr Programme einschließlich Treiber man installiert, umso träger wird das System, umso mehr Probleme treten auf. Alle Komponenten der alten Software restlos zu entfernen nicht möglich, das System wird enorm instabil, so dass häufige Abstürze die Folge sind.
Dann im System auftretende schwerwiegende Fehler und wechselnde Probleme, sind wie mit dem Heu im Nadelhaufen finden. Warum installierst Du Windows nicht neu? Damit sollte dein Problem behoben sein...Aber vergewissere dich, dass du Windows hast!