NT Kernel Änderung ?

Dieses Thema NT Kernel Änderung ? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Tope, 28. Feb. 2006.

Thema: NT Kernel Änderung ? Hallo, kann mir jemand helfen? Ich bekam die Meldung der Firewall, daß mein Computer gescannt wurde. Nun bekomme ich...

  1. Hallo,
    kann mir jemand helfen?
    Ich bekam die Meldung der Firewall, daß mein Computer gescannt wurde. Nun bekomme ich beim Starten folgende Meldung:

    Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\ntoskrnl.exe geändert.
    Dateiversion : 5.1.2600.2622 (xpsp_sp2_gdr.050301-1519)
    Dateibeschreibung : NT-Kernel und -System
    Dateipfad : C:\WINDOWS\system32\ntoskrnl.exe
    Prozess-ID : 4 (Heximal) 4 (Dezimal)

    Verbindungsursprung : lokal initiert
    Protokoll : UDP
    Lokale Adresse : 169.254.93.118
    Lokaler Port : 137
    Remote-Name :
    Remote-Adresse : 169.254.255.255
    Remote-Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)

    Ethernet-Paket-Details:
    Ethernet II (Packet Length: 106)
    Destination: ff-ff-ff-ff-ff-ff
    Source: 00-d0-41-04-80-38
    Type: IP (0x0800)
    Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
    .0.. = Don't fragment: Not set
    ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 64
    Protocol: 0x11 (UDP - User Datagram Protocol)
    Header checksum: 0x1fc9 (Correct)
    Source: 169.254.93.118
    Destination: 169.254.255.255
    User Datagram Protocol
    Source port: 137
    Destination port: 137
    Length: 8
    Checksum: 0x837d (Correct)
    Data (58 Bytes)

    Binäres Abbild des Pakets:
    0000: FF FF FF FF FF FF 00 D0 : 41 04 80 38 08 00 45 00 | ........A..8..E.
    0010: 00 4E 00 0D 00 00 40 11 : C9 1F A9 FE 5D 76 A9 FE | .N....@.....]v..
    0020: FF FF 00 89 00 89 00 3A : 7D 83 80 03 01 10 00 01 | .......:}.......
    0030: 00 00 00 00 00 00 20 46 : 48 46 41 45 42 45 45 43 | ...... FHFAEBEEC
    0040: 4F 43 41 43 41 43 41 43 : 41 43 41 43 41 43 41 43 | OCACACACACACACAC
    0050: 41 43 41 43 41 41 41 00 : 00 20 00 01 C0 0C 00 20 | ACACAAA.. .....
    0060: 00 01 00 04 93 E0 00 06 : 00 00 | ..........

    Was, oder wer versucht auf meinem PC die Anwendung zu ändern?

    Danke für Hilfe
    Tope

    Nachtrag
    Habe mit Hijack diese Logfile erstellt.
    Kann mir jemand sagen, ob da etwas ungewohnlich erscheint?

    Logfile of HijackThis v1.99.1  (im abgesicherten Modus)
    Scan saved at 20:18:41, on 28.02.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

    Logfile of HijackThis v1.99.1 (im Normalmodus)
    Scan saved at 20:25:13, on 28.02.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
    C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
    C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
    C:\DOKUME~1\MANUEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
     
  2. hp
    hp
    was ist das für ein prog?

    O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe \RESET

    kennst du das? wenn nein, mal löschen und den eintrag fixen ... der rest vom logfile sieht gut aus. kannst du selber hire www.hijackthis.de selber auswerten lassen ...

    greetz

    hugo
     
  3. Hallo Hugo,
    danke für die Info.
    Dann werd ich das mal so machen. Aber hast Du eine Ahnung, was mit dieser NT Kernel Änderung gemeint sein könnte? Ist es vielleicht etwas, was mit MS updates zu tun hat?

    Gruß Tope
     
  4. Bei der Installation von ServicePacks kommt sowas schon mal vor.

    Gruß
    Christian
     
  5. Hi,

    das sieht nach ganz normalem Netzwerkverkehr aus, der lokal auf deinem Rechner stattfindet. Das kannst du an den IP-Adressen sehen, bei denen es sich um interne IP-Adressen handelt, die nicht im Internet geroutet werden.

    Diese IP-Adressen werden normalerweise dann vergeben, wenn kein DHCP-Server gefunden wurde. Siehst du auch an der Information Verbindungsursprung : lokal initiert. Da greift also niemand von aussen auf den Rechner zu.

    Natürlich gibt es auch Schadprogramme, die Code in bestehende systemeigene Dateien injizieren können. In diesem Fall halte ich das aber nicht für gegeben. Zur Sicherheit kannst du die Datei  C:\WINDOWS\system32\ntoskrnl.exe ja hier einmal überprüfen lassen:

    http://virusscan.jotti.org/de/

    Ansonsten sehe ich in dem Bericht nichts Ungewöhnliches.

    SDNDNK
     
  6. Vielen Dank für Eure Hilfe.
    Hab die Änderung zugelassen und danach überprüft und war alles so weit sauber.
    Nach Änderung meiner Startdienste ist auch die ZZZHP Datei nicht mehr im Logfile.

    Gruß Tope
     
Die Seite wird geladen...

NT Kernel Änderung ? - Ähnliche Themen

Forum Datum
PC hängt sich auf /Kernel-Power Ereigniss-ID 41 Windows 10 Forum 5. Okt. 2015
STOP: 0x00000077 KERNEL_STACK_INPAGE_ERROR Windows XP Forum 13. März 2015
Kernel Security Check Failure Windows 8 Forum 11. Nov. 2014
Fehlermeldung und UNEXPECTED_KERNEL_MODE_TRAP Windows 8 Forum 30. Juli 2014
Windows 8.1 Fehler: Kernel-EventTracing 0x8000000000000010 Windows 8 Forum 3. Feb. 2014