NT Kernel Änderung ?

  • #1
T

Tope

Neues Mitglied
Themenersteller
Dabei seit
28.02.2006
Beiträge
3
Reaktionspunkte
0
Hallo,
kann mir jemand helfen?
Ich bekam die Meldung der Firewall, daß mein Computer gescannt wurde. Nun bekomme ich beim Starten folgende Meldung:

Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\ntoskrnl.exe geändert.
Dateiversion : 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)
Dateibeschreibung : NT-Kernel und -System
Dateipfad : C:\WINDOWS\system32\ntoskrnl.exe
Prozess-ID : 4 (Heximal) 4 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : UDP
Lokale Adresse : 169.254.93.118
Lokaler Port : 137
Remote-Name :
Remote-Adresse : 169.254.255.255
Remote-Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 106)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-d0-41-04-80-38
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0x1fc9 (Correct)
Source: 169.254.93.118
Destination: 169.254.255.255
User Datagram Protocol
Source port: 137
Destination port: 137
Length: 8
Checksum: 0x837d (Correct)
Data (58 Bytes)

Binäres Abbild des Pakets:
0000: FF FF FF FF FF FF 00 D0 : 41 04 80 38 08 00 45 00 | ........A..8..E.
0010: 00 4E 00 0D 00 00 40 11 : C9 1F A9 FE 5D 76 A9 FE | .N....@.....]v..
0020: FF FF 00 89 00 89 00 3A : 7D 83 80 03 01 10 00 01 | .......:}.......
0030: 00 00 00 00 00 00 20 46 : 48 46 41 45 42 45 45 43 | ...... FHFAEBEEC
0040: 4F 43 41 43 41 43 41 43 : 41 43 41 43 41 43 41 43 | OCACACACACACACAC
0050: 41 43 41 43 41 41 41 00 : 00 20 00 01 C0 0C 00 20 | ACACAAA.. .....
0060: 00 01 00 04 93 E0 00 06 : 00 00 | ..........

Was, oder wer versucht auf meinem PC die Anwendung zu ändern?

Danke für Hilfe
Tope

Nachtrag
Habe mit Hijack diese Logfile erstellt.
Kann mir jemand sagen, ob da etwas ungewohnlich erscheint?

Logfile of HijackThis v1.99.1  (im abgesicherten Modus)
Scan saved at 20:18:41, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Logfile of HijackThis v1.99.1 (im Normalmodus)
Scan saved at 20:25:13, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 
  • #2
was ist das für ein prog?

O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET

kennst du das? wenn nein, mal löschen und den eintrag fixen ... der rest vom logfile sieht gut aus. kannst du selber hire www.hijackthis.de selber auswerten lassen ...

greetz

hugo
 
  • #3
Hallo Hugo,
danke für die Info.
Dann werd ich das mal so machen. Aber hast Du eine Ahnung, was mit dieser NT Kernel Änderung gemeint sein könnte? Ist es vielleicht etwas, was mit MS updates zu tun hat?

Gruß Tope
 
  • #4
Bei der Installation von ServicePacks kommt sowas schon mal vor.

Gruß
Christian
 
  • #5
Tope schrieb:
Verbindungsursprung : lokal initiert
Protokoll : UDP
Lokale Adresse : 169.254.93.118
Lokaler Port : 137
Remote-Adresse : 169.254.255.255
Remote-Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)
Zum Vergrößern anklicken....

Hi,

das sieht nach ganz normalem Netzwerkverkehr aus, der lokal auf deinem Rechner stattfindet. Das kannst du an den IP-Adressen sehen, bei denen es sich um interne IP-Adressen handelt, die nicht im Internet geroutet werden.

Diese IP-Adressen werden normalerweise dann vergeben, wenn kein DHCP-Server gefunden wurde. Siehst du auch an der Information Verbindungsursprung : lokal initiert. Da greift also niemand von aussen auf den Rechner zu.

Natürlich gibt es auch Schadprogramme, die Code in bestehende systemeigene Dateien injizieren können. In diesem Fall halte ich das aber nicht für gegeben. Zur Sicherheit kannst du die Datei  C:\WINDOWS\system32\ntoskrnl.exe ja hier einmal überprüfen lassen:

http://virusscan.jotti.org/de/

Ansonsten sehe ich in dem Bericht nichts Ungewöhnliches.

SDNDNK
 
  • #6
Vielen Dank für Eure Hilfe.
Hab die Änderung zugelassen und danach überprüft und war alles so weit sauber.
Nach Änderung meiner Startdienste ist auch die ZZZHP Datei nicht mehr im Logfile.

Gruß Tope
 
Thema:

NT Kernel Änderung ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben