ntoskrnl.exe verändert und will nach draussen

#1 Hallo,
meine firewall macht mich seit kurzem immer, wenn ich nach einem neuen Systemstart ins Internet will, darauf aufmerksam, dass die ntoskrnl.exe seit dem letzten öffnen geändert wurde. Ich kann mich dann entscheiden, ob ich die Änderung und eine Verbindung zulassen will, ich hab sie nicht zugelassen. (Die gleiche Meldung kam auch mal bei der Shell32.exe, da hab ich aber die Änderung und die Verbindung (glaub ich) aber zugelassen.)

Ich habe in der letzten Zeit keine Updates gemacht. Datei- und Druckerfreigabe sind deaktiviert.
Bei der Protokollanzeige meiner sygate firewall steht als remotehost u.a. 192.168.1.255 (Protokoll: UDP) und 192.168.1.1 (Protokoll: ICMP). Die Richtung der ntoskrnl.exe ist nach draussen.
Mittlerweile habe ich der ntoskrnl.exe komplett verboten rauszugehen, egal wie, die Meldung kommt aber immer noch.
AVG und AVG Spyware (neueste Definitionen), sowie Trojan Remover (aktuell) zeigen nichts an.
AVG Spyware zeigt an, dass ntoskrnl.exe und shell32.dll verändert wurden.

Nun befürchte ich einfach, dass etwas mit meiner Internetsicherheit nicht in Ordnung ist, und ich weiß nicht was ich mit der Meldung meiner Firewall machen soll. Ich kann ausserdem kein Häckchen aktivieren, dass die Meldung nicht mehr erscheint.
Die oben genannten IP Adressen sind mir unbekannt. Auf www.wieistmeineip.de wird bei mir eine völlig andere IP angezeigt. In den Einstellungen meiner Netzwerkverbindung steht auch keine der Adressen. Ich benutzte einen DSL Router an den noch 3 andere PCs angeschlossen sind, ich habe aber kein direktes Netzwerk mit ihnen. Die anderen PCs gehen auch nicht mit diesen IPs ins Internet.

Was hat das alles zu bedeuten? Ist da irgendein Hacker am Werk, oder ein Trojaner? Wie soll ich weiter verfahren?

Danke im Vorraus
Unten sind alle weiteren Infos

Hier eine Kopie der Meldung, wenn das Protokoll UDP ist:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\ntoskrnl.exe geändert.
Dateiversion : 5.1.2600.3051 (xpsp_sp2_gdr.061219-0316)
Dateibeschreibung : NT-Kernel und -System
Dateipfad : C:\WINDOWS\system32\ntoskrnl.exe
Prozess-ID : 4 (Heximal) 4 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : UDP
Lokale Adresse : 192.168.1.33
Lokaler Port : 137
Remote-Name :
Remote-Adresse : 192.168.1.255
Remote-Port : 137 (NETBIOS-NS - Browsing requests of NetBIOS over TCP/IP)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 124)
Destination: ff-ff-ff-ff-ff-ff
Source: 00-17-31-a3-39-d3
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x11 (UDP - User Datagram Protocol)
Header checksum: 0x30b4 (Correct)
Source: 192.168.1.33
Destination: 192.168.1.255
User Datagram Protocol
Source port: 137
Destination port: 137
Length: 8
Checksum: 0x7d73 (Correct)
Data (76 Bytes)

Binäres Abbild des Pakets:
0000: FF FF FF FF FF FF 00 17 : 31 A3 39 D3 08 00 45 00 | ........1.9...E.
0010: 00 60 01 EC 00 00 80 11 : B4 30 C0 A8 01 21 C0 A8 | .`.......0...!..
0020: 01 FF 00 89 00 89 00 4C : 73 7D 80 00 29 10 00 01 | .......Ls}..)...
0030: 00 00 00 00 00 01 20 46 : 42 46 48 45 46 46 43 46 | ...... FBFHEFFCF
0040: 45 43 41 43 41 43 41 43 : 41 43 41 43 41 43 41 43 | ECACACACACACACAC
0050: 41 43 41 43 41 41 41 00 : 00 20 00 01 C0 0C 00 20 | ACACAAA.. .....
0060: 00 01 00 04 93 E0 00 06 : 00 00 C0 A8 01 21 00 00 | .............!..
0070: 00 00 00 00 00 00 00 00 : 00 00 00 00 | ............
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Hier die Kopie der Meldung, wenn das Protokoll ICMP ist:

Die EXE-Datei wurde seit der letzten Verwendung von C:\WINDOWS\system32\ntoskrnl.exe geändert.
Dateiversion : 5.1.2600.3051 (xpsp_sp2_gdr.061219-0316)
Dateibeschreibung : NT-Kernel und -System
Dateipfad : C:\WINDOWS\system32\ntoskrnl.exe
Prozess-ID : 4 (Heximal) 4 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : ICMP
Lokale Adresse : 192.168.1.33
ICMP-Typ : 8 (Echo Request)
ICMP-Code : 0
Remote-Name :
Remote-Adresse : 192.168.1.1

Ethernet-Paket-Details:
Ethernet II (Packet Length: 61)
Destination: 00-13-49-73-66-5f
Source: 00-17-31-a3-39-d3
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 1
Protocol: 0x1 (ICMP - Internet Control Message Protocol)
Header checksum: 0x8034 (Correct)
Source: 192.168.1.33
Destination: 192.168.1.1
Internet Control Message Protocol
Type: 8 (Echo Request)
Code: 0
Data (9 bytes)

Binäres Abbild des Pakets:
0000: 00 13 49 73 66 5F 00 17 : 31 A3 39 D3 08 00 45 00 | ..Isf_..1.9...E.
0010: 00 21 01 EA 00 00 01 01 : 34 80 C0 A8 01 21 C0 A8 | .!......4....!..
0020: 01 01 08 00 2A 67 02 00 : 01 00 44 48 43 50 43 2C | ....*g....DHCPC,
0030: 6E FE 04 00 00 00 00 00 : 00 00 00 00 00 | n............

-------------------------------------------------------------------------------------------------------
Hier noch ein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 06:18:55, on 18.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Grisoft\AVG Anti-Spyware 7.5\guard.exe
d:\Grisoft\AVGFRE~1\avgamsvr.exe
d:\Grisoft\AVGFRE~1\avgupsvc.exe
d:\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDLL32.exe
D:\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Grisoft\AVG Free\avgcc.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\c\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] d:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CloneCDTray] "d:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TrojanScanner] d:\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [avg] D:\\Grisoft\\AVG Free\\avgcc.exe
O4 - Startup: 10.0x 1.325V.lnk = D:\CrystalCPUID49(2)\CrystalCPUID.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - d:\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Das wars, nochmals Danke im Vorraus

#2 UEberpruefe die Datei bitte bei Jotti/VT um zu sehen, ob Malware gefunden wird. Im Zweifelsfalle die Datei an virus@protecus.de schicken.

MAche das mit der Shell32.exe(oder shell32.dll? als exe waere das ein Trojaner) ebenso.
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
UEberpruefe die Datei bitte bei [url="http://virusscan.Jotti.org/"]Jotti[/url]/VT um zu sehen, ob Malware gefunden wird. Im Zweifelsfalle die Datei an virus@protecus.de schicken.

MAche das mit der Shell32.exe(oder shell32.dll? als exe waere das ein Trojaner) ebenso.

Ntoskrnl.exe lässt sich bei Jotti nicht überprüfen
Firewall hab ich extra dafür ausgemacht.
Hab sie aber eingesendet. Die Shell32 ist doch ne DLL, hab mich nur verschrieben.
Warte nun auf das Ergebnis der Überprüfung von virus@protecus.de

Hat noch jemnad ne idee, warum die datei immer raus will?
Und was soll das mit 192.168.1.1 bzw. 192.168.1.255?

Danke

#4 Die ntoskrnl.exe hab ich und die sieht ganz anders aus, als die Orginale! So verschieden, das ich nicht sagen kann, was das ist. Ich habe es mal weitergeleitet.

192.168.1.1 wird dein Router sein. Warum auch .255(Letzte Ip aus der Subdomain) befragt wird, weiss ich nicht.

Du kannst ja auch die shell32.dll noch packen und schicken...
__________
MfG Ralf
SEO-Spam Hunter

#5

Zitat

raman postete
Die ntoskrnl.exe hab ich und die sieht ganz anders aus, als die Orginale! So verschieden, das ich nicht sagen kann, was das ist. Ich habe es mal weitergeleitet.

192.168.1.1 wird dein Router sein. Warum auch .255(Letzte Ip aus der Subdomain) befragt wird, weiss ich nicht.

Du kannst ja auch die shell32.dll noch packen und schicken...

Ich hab die Shell32.dll jetzt auch eingeschickt.
Mittlerweile hab ich bei Jotti die gepackten Versionen von der Ntoskrnl.exe und die shell32.dll überprüfen lassen.
Beide Male war alles OK, nichts wurde gefunden.
Vielleicht ist die Ntoskrnl.exe so verschieden, weil ich die Änderung nicht zugelassen habe, hätte ich vielleicht zulassen sollen.

Danke für die ganze Mühe

#6 Hmmm,

das mit ntoskrnl.exe habe ich auch, allerdings erst seid Microsofts-Patchday...
Muß mir die Sache heute abend mal an meinem Pc anschauen (Kaspersky und Avira finden jedenfalls nichts), @raman, das
Ergebnisse der Untersuchung interessiert mich, bitte an mich weiterleiten....

uiop: Download svv (svv 2.3 86binaries) von

Zitat

http://invisiblethings.org/tools.html

in ein Verzeichnis auspacken und mit

Zitat

svv check /m

prüfen, Du bekommst dann ein "Securitylevel" und wo was geändert wurde...
Bitte nichts fixen lassen, das kann schief gehen (wenn schon, dann vorher Backup und bootdisk/cd anlegen), ausserdem können dann Programme die vorher liefen das nicht mehr tun...

Gruß,
Chris

#7 Die ntoskrnl.exe ist anders als "meine", obwohl es die gleiche Version laut Dateieigenschaften ist. Es scheint aber daran zu liegen, das ich hier eine Multi-cpu Version habe und uiop "nur" single user. die user32.dll ist die Orginale. Ich denke, da hat die Firewall was "vergessen"
__________
MfG Ralf
SEO-Spam Hunter

#8

Zitat

raman postete
Die ntoskrnl.exe ist anders als "meine", obwohl es die gleiche Version laut Dateieigenschaften ist. Es scheint aber daran zu liegen, das ich hier eine Multi-cpu Version habe und uiop "nur" single user. die user32.dll ist die Orginale. Ich denke, da hat die Firewall was "vergessen"

Warum user32.dll, ich hab dir doch die shell32.dll geschickt?
Und was heißt, dass die Firewall was vergessen hat?

Danke

#9 Sorry, mein versehen, ich meinte die shell32.dll.
Mit "vergessen" meinte ich, das Sygate einen kleinen Fehler in der Datenbank gehabt haben kann, in der steht, wie die Datei ausgesehen hat und nun irtuemlich eine Veraenderung meldet....
__________
MfG Ralf
SEO-Spam Hunter

#10

Zitat

raman postete
Sorry, mein versehen, ich meinte die shell32.dll.
Mit "vergessen" meinte ich, das Sygate einen kleinen Fehler in der Datenbank gehabt haben kann, in der steht, wie die Datei ausgesehen hat und nun irtuemlich eine Veraenderung meldet....

Ach so.
Ich hab mittlerweile Netbios und Client für Microsoft Netzwerke deaktiviert, weil ich dachte es hätte damit was zu tun.
Dann kam einen Tag keine Meldung, aber am nächsten Tag war alles wieder so wie immer.

Ps: Sygate sagt immer, wenn ich auf "Nein" bei der eigentlichen Meldung klicke, dass "Datei nach dem letzten öffnen geändert wurde" und "Prozess ID:4"
Vielleicht hilft das ja.

Ausserdem hab ich das SVV Tool benutzt:
Ich hab das Programm so wie oben gesagt ausgeführt.
Beim Check zeigt das Programm an, dass die ntoskrnl.exe fehlen würde
Die Datei ist aber auf jeden Fall da.
Das Sicherheitslevel ist aber trotzdem 0 (blue).
Es wurde nichts schädliches gefunden.

Warum findet das Programm die ntoskrnl.exe nicht? Vielleicht weil meine Firewall die Datei blockt? Was ist mit der Datei denn los?

Danke

#11 Das ist moeglich, so wie es aussieht, ist deine ntoskrnl.exe das Orginal fuer single Core Rechner!
__________
MfG Ralf
SEO-Spam Hunter

#12

Zitat

raman postete
Das ist moeglich, so wie es aussieht, ist deine ntoskrnl.exe das Orginal fuer single Core Rechner!

Was ist möglich, dass es ein trojaner ist, oder dass die Firewall die Datei blockt?

Danke für die schnelle Antwort

#13 Hi,

nach Druckerinstallation bzw. Update der Treiber (Brother) kam bei mir die gleiche Meldung von der FW (Sygate-Pro), bezogen auf Port 135 (Netbios)...
Ich habe das Ganze über die HW-FW (Wireless-Router) abgefangen (auf Deutsch:
Ist mir Wurst, die HW-Firewall ist so eingestellt, dass sei Netbios vollständig blockt). Interessanter Weise kommen diese Request auch dann, wenn explizit die Net-Bios-Unterstützung (Dienst) ausgeschaltet ist... DCOM geht leider nicht, da einige MM-Erweiterungen den Dienst brauchen...

Hier was im Sygate-Forum darüber, ich denke das Ganze ist ungefährlich und lässt sich über eine Regel entschärfen...
http://f3.webmart.de/f.cfm?id=2104181&r=threadview&a=1&t=3038814

Chris