geänderte ntoskrnl.exe auf port 135 funlove?

#16 die ntoskrnl.exe wird nicht als veraendert erkannt.

Zitat

The virus modifies two bytes in a security function named SeAccessCheck that is part of Ntoskrnl.exe.

dennoch wende das Entfernungstool an:
http://support.microsoft.com/default.aspx?scid=kb;en-us;287664&sd=tech

und berichte...ich mache mich inzwischen ueber die letzten geposteten Daten schlau
__________
MfG Sabina

rund um die PC-Sicherheit

#17 trendmicro sysclean
Donwload in ein eigenes Verzeichnis:
http://de.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com
In das selbe Verzeichnis downloaden und entpacken:
http://de.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt859.zip
In den abgesicherten Modus booten und laufen lassen. Das Log bitte posten.(im Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#18 C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll:
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll:

Das sieht komischerweise nach MS aus.

Organisiere die mal eine BartP CD:
http://pcfreaks.big-clan.net/bartpe/index.shtml und nutz escan wen du von der CD gestartet hast.

Obige DLLs im Zweifelsfalle zu mir!
__________
MfG Ralf
SEO-Spam Hunter

#19

Zitat

Sabina postete
die ntoskrnl.exe wird nicht als veraendert erkannt.

Zitat

The virus modifies two bytes in a security function named SeAccessCheck that is part of Ntoskrnl.exe.

dennoch wende das Entfernungstool an:
http://support.microsoft.com/default.aspx?scid=kb;en-us;287664&sd=tech

und berichte...ich mache mich inzwischen ueber die letzten geposteten Daten schlau

habe fixfun bereits einmal ausgeführt unter Windows, im DOS-Modus bekomme ich es nicht zum Laufen, obwohl NTFS-Treiber geladen sind... :-(

Probiere es noch einmal...

Wird mal wieder Zeit für ein Dankeschön :-)

DANKE!

Hendrik

#20 noch eine Frage...ich finde keine Infos darueber:

Zitat

Die ndisuio.sys wird vom Dienst "Konfigurationsfreie drahtlose Verbindung" (Beschr.: Bietet automatische Konfiguration für 802.11-Adapter) verwendet

hast du : WLAN ?
__________
MfG Sabina

rund um die PC-Sicherheit

#21

Zitat

Sabina postete
noch eine Frage...ich finde keine Infos darueber:

Zitat

Die ndisuio.sys wird vom Dienst "Konfigurationsfreie drahtlose Verbindung" (Beschr.: Bietet automatische Konfiguration für 802.11-Adapter) verwendet

hast du : WLAN ?

Nope, habe einen Router und 2 XP-Rechner fest verdrahtet...

Was alles über diese Datei läuft ist wohl nicht so ganz klar...
http://www.iceteks.com/articles.php?act=view&article=ndisuio&p=1&

Werde mich gleich mal in den abgesicherten Modus verziehen und die offenen Punkte abarbeiten. Wird auch für euch mal Zeit ins RL zu wechseln, oder? Ich bekomme jedenfalls bald Ärger von meiner Liebsten (zurecht), und bin daher nicht böse, wenn wir morgen weitermachen und ihr euch euren privaten Dingen widmet, die man so am Wocheennde halt tut (ausser im Forum armen Leuten aus der Patsche zu helfen)... :-D. Wahrscheinlich poste ich morgen wieder.

CU & GN8

mit den liebsten Grüssen aus Berlin,

Hendrik

EDIT: SONNTAG 16h

Schönen Sonntag...
Trendmicro liefert nichts im abgesicherten Modus, kommt nur an viele Prefetch-Daten nicht ran.

Bart-PE hab ich schon früher mal versucht, bekomme meine Raid-Controller-Treiber aber nicht zum laufen und finde kein escan-plug.

Ich glaube ich gebe auf, inzwischen hätte ich den PC schon 3x neu installieren können, habe eh eine eigene Windows-Partition und ein Image von einem frühen Stadium, wo vielleicht noch nichts drauf ist, ich werde jedenfalls am Montag die Kiste(n) platt machen und frisch neu installieren. Vielen herzlichen Dank für die Mühe, das Angebot mit dem Bierchen steht auf jeden Fall.

mfg Hendrik

#22 Neue Infos:

Ich glaube hier liegt mein Problem:
ProcessExplorer liefert folgende info, wenn ich mir ansehe, was da auf port 445 passiert (System/Properties/TCP/IP/ stack):

win32k.sys+0x1a4640
ntkrnlpa.exe+0x16df9
ntkrnlpa.exe!NtDuplicateObject+0x146e
ntkrnlpa.exe!ObOpenObjectByName+0xeb
ntkrnlpa.exe!IoCreateDevice+0x753
ntkrnlpa.exe!IoCreateFile+0x8e
ntkrnlpa.exe!NtCreateFile+0x30
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb14
ntkrnlpa.exe!ZwCreateFile+0x11
netbt.sys+0x1f7e7

wenn wieder eine verbindung auf port 445 hergestellt wird liefert thread stack at time port was opened folgendes :

ntkrnlpa.exe!LpcPortObjectType+0x218
ntkrnlpa.exe!IoBuildPartialMdl+0xed
ntkrnlpa.exe!NtDuplicateObject+0x146e
ntkrnlpa.exe!ObOpenObjectByName+0xeb
ntkrnlpa.exe!IoCreateDevice+0x753
ntkrnlpa.exe!IoCreateFile+0x8e
ntkrnlpa.exe!NtCreateFile+0x30
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb14
ntkrnlpa.exe!ZwCreateFile+0x11
netbt.sys+0x1f7e7
netbt.sys+0x20547
netbt.sys+0x24173
ntkrnlpa.exe!NtWriteFile+0x44a8
ntkrnlpa.exe!IoReportHalResourceUsage+0x172a

netbt.sys+0x20547
netbt.sys+0x24173
ntkrnlpa.exe!NtWriteFile+0x44a8
ntkrnlpa.exe!IoReportHalResourceUsage+0x172a
ntkrnlpa.exe!KeCapturePersistentThreadState+0x22be

#23 hier habe ich einen Artikel gefunden, der vielleicht weiterhilft...Port 445
http://www.intern.de/news/2058.html

Zitat

Dabei warnt schon das SANS Institute in seiner Liste der 10 kritischsten Internet-Bedrohungen vor einem Missbrauch der Ports 135-139 sowie Port 445.

Among the new ports used by Windows 2000, Windows XP and Windows Server 2003, is TCP port 445 which is used for SMB over TCP.

Zitat

The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2000/XP. In Windows NT it ran on top of NetBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000/XP/2003, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445.
http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm

wenn du also die netbios deaktivierst, ueber die Dienste ????? Bringt das Besserung?
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo Sabina,
witziger Weise habe ich auch deinen 2. Artikel gefunden und bin zu folgendem Schluss gekommen:
- Ich habe keinen Virus/Wurm/Trojaner an Bord, alle Scans (und es waren viele, mit verschiedenen Scannern) waren negativ (oder es ist ein noch unbekannter gaobot.gen)
- Den Angriffen ging immer recht viel Traffic auf den Ports 445 voraus (min. 4 Connections gleichzeitig), immer in derselben ip-gruppe (85.178.XXX.XXX), die zu meinem Provider (Alice) gehören.
- Netbios war aktiviert (Bin im Mini-Lan mit 2-3 Rechnern)

Ich gehe davon aus, daß in dieser Gruppe gezielt ip's gescannt wurden, bzw. dass mein Netbios in diese Gruppe gebroadcastet hat (in der Art "hier bin ich, wer ist noch da") und daß daraufhin, sobald der Angreifer "sah", daß hier jemand mit aktiviertem Netbios online ist, gezielt die Attacke gestartet hat (bzw. automatisiert).

Ich habe sowohl im Router als auch bei meiner Firewall am Rechner die Ports 135-139 und 445 geblockt (habe noch nicht ausprobiert, ob ich noch Netzwerkverbindung zum anderen Rechner habe) und habe Ruhe seither.

Ich melde mich, sofern sich wieder etwas tut, bis dahin vielen Dank...

mfg Hendrik