Hallo allerseits,

ich bin neu hier und möchte schon einmal im Vorfeld kurz Danke sagen!!

Derzeit verzweifle ich an meinem System, bisher konnte kein Virus lokalisiert werden... ABER!!

Betrieben wird mein Rechner mit zwei Festplatten: Windows Vista 64bit + Windows XP 32bit.
Über EasyBCD ist ein Bootmanager konfiguriert, den ich auch zum Aufruf von WinXP verwende.

Vor einigen Wochen habe ich bei dessen Start (WinXP) das erste Mal eine Fehlermeldung erhalten.
Die Datei NTOSKRNL.EXE sollte nicht auffindbar sein. Durch Rückspielen der EasyBCD Sicherung, konnte ich mir Abhilfe verschaffen.
Wirkte aber nur bis der PC aus war, danach wurde der Fehler wieder gemeldet und so weiter (Warmstarts änderten nichts) ...

Nun habe ich zufällig festgestellt, die Systemdatei NTOSKRNL.EXE (WinVista) läßt sich aus dem System heraus nicht zu VirusTotal hochladen.
Dies scheint mir ungewöhnlich zu sein, da der gleiche Vorgang unter Windows XP und Windows 7 64bit (anderer Rechner) möglich ist.
Über desinfect 2016 war der Upload möglich, aber auch hier kein Virusfund!
Jedoch meldet VirusTotal keinen Trust Source, sondern nur: Probably harmless! There are strong indicators suggesting that this file is safe to use.

Da ich über mehrere Systemsicherungen verfüge, habe ich heute früh die Brechstange verwendet und das OS versucht testweise neu einzuspielen.
Vor der Installation wurden alle internen Datenträger mit dc3dd überschrieben (desinfect).
Nach Installation von Windows Vista ist die NTOSKRNL.EXE aus dem Jahr 2006.
Mit Einspielen des Service Packs 1 wird diese aktualisiert (Erstellungsdatum ändert sich auf heute).
Ab hier ergibt die Prüfung mit GMER NTOSKRNL.EXE suspicious modification.
Vor der Installation des Service Packs erhalte ich keinen Netzwerkzugriff, dafür gibt GMER aber auch keine Änderungen an der NTOSKRNL.EXE zurück.
Mit dem ersten Netzwerkzugriff kann ich bei VirusTotal die Datei schon nicht finden.
Weitere Versuche habe ich dann auch nicht mehr unternommen und bin jetzt auf eine Sicherung aus Juni 2016 zurückgesprungen. Gleiches Problem!

Da ich annehme, diese Probleme kommen nicht von irgendwo her, tippe ich auf einen speicherresistenten Bootvirus der verschlüsselt im System/Kernel liegt.
Eine Neuinstallation wäre nicht mein Problem, der Erfolg hielt sich bisher aber ja leider in Grenzen
U.a. verwende ich einige externe Datenträger, dessen gespeicherten Daten mir am Herzen liegen. Auch diese könnten betroffen sein.

Ich verwende Avast Antivirus free und Emsisoft Emergency Kit in Kombination (keine Meldungen).
Illegale Software verwende ich nicht.
Gmer meldete (wie bereits erwähnt) NTOSKRNL.EXE suspicious modification.
aswMBR.exe meldet keine Virusfunde und der MBR ist auch original.

Brauche dringend Hilfe!! Verzweifel hier

Auch Erfahrungswerte zu den genannten Problemen könnten weiterhelfen.

Vielen Dank!!
svnupa

PS: Bitte auch kurze Info geben, wie ich ggf. Logfiles einbinden muss (über Anhänge??).

Hi,

Zitat:

Betrieben wird mein Rechner mit zwei Festplatten: Windows Vista 64bit + Windows XP 32bit.
Über EasyBCD ist ein Bootmanager konfiguriert, den ich auch zum Aufruf von WinXP verwende.

Vergiss es, diese beiden Uralt-Systeme wieder gefund zu pflegen. XP ist seit 2014 end of life, Vista wird es in wenigen Wochen sein. Der Zug ist da abgefahren. Statt also Zeit mit diesen toten Systemen zu verbringen wäre sie besser in Datensicherung und Umstellung auf ein neues OS investiert.

Beachte dass Windows 7 auch nur noch drei Jahre Support und tw. massive Probleme beim Updaten hat, die sich nicht immer lösen lassen. Windows 7 als neue Installation wäre daher eher eine Notlösung. Wenn dein Rechner zu alt für ein aktuelles Windows ist, ist eine Linux-Distro wie zB Ubuntu MATE eine exzellente Alternative.

XP und Vista jedenfalls können keine Option mehr sein.

Lesestoff:
Sicherheitsrisiko durch Windows Vista

Auf deinem Rechner läuft noch Windows Vista. Microsoft hat dieses Betriebssystem bereits 2006 veröffentlicht und stellt den Support endgültig ab April 2017 ein, d.h. ab Mai 2017 gibt es keine weiteren Updates mehr und danach gefundene Lücken werden nicht mehr durch Updates/Hotfixes geschlossen werden können.

Voraussetzung für den Support deiner Vista-Installation sind das Service Pack 2 und der für Vista letzte unterstützte Internet Explorer (IE9). Neuere IE-Versionen (IE10/IE11) oder gar der IE-Nachfolger edge sind unter Vista nicht möglich. Es kann passieren, dass viele Virenscanneranbieter Windows Vista in Kürze nicht mehr berücksichtigen und du somit auch nicht mehr deinen favorisierten Virenscanner verwenden kannst, zB Emsisoft siehe https://helpdesk.emsisoft.com/Knowle...gefuhrt-werden

Auch bei künftigen Browsern muss man damit rechnen, dass diese unter Vista nicht mehr funktionieren; bei Google Chrome ist das ab Version 50 also seit April 2016 der Fall vgl. https://heise.de/-3174788

Mozilla hat ebenfalls angekündigt, den Support für Vista (und auch XP) zu beenden siehe https://heise.de/-3581908


Mit Windows Vista nach April 2017 zu surfen wird damit ein großes Sicherheitsrisiko. Ich rate dazu, Vista umgehend durch ein aktuelleres OS zu ersetzen.

Danke für die Hinweise. Trotzdem ist mit einer Neuinstallation das Problem nicht behoben.
Hier habe ich es mit einer wesentlich tiefgründigeren Problematik zu tun.

Habe heute eine Neuinstallation auf Windows 7 Basis versucht.
Das Ergebnis war genauso ernüchternd wie zuvor.
Ab Win7 hat der Virus offenbar "gelernt" und verschlüsselt nun die NTOSKRNL.EXE.
Jetzt lässt sie sich zu VirusTotal uploaden, aber diese Datei ist gefälscht.
Bei Upload der File weicht die Größe von der Originaldatei im Windows-Explorer ab.
Auch die SHA.256 sind nicht gleich. Jetzt habe ich ein eindeutiges Ergebnis.

Nun muss ich entweder meine Hardware vollständig wechseln, oder herausfinden wo der Virus abgelegt ist.

Vielleicht hat jemand Erfahrung damit gemacht und kann helfen.

Grüße,
svnupa

Zitat:

Das Ergebnis war genauso ernüchternd wie zuvor.
Ab Win7 hat der Virus offenbar "gelernt" und verschlüsselt nun die NTOSKRNL.EXE.

Das ist totaler Blödsinn. Kein Schädling überlebt eine Neuinstallation von der Windows-DVD.
Es gibt auch überhaupt keinen Grund, von einem frisch neu installierten System irgendwelche Bestandteile auswerten zu lassen.

Okay, okay ... ist ja gut ... scheint doch nur ein Fehlalarm gewesen zu sein.

Die Abweichungen treten bei allen Windows 7 Systemen auf, wenn man den IE benutzt.
Im Chrome werden die Dateigrößen übrigens korrekt dargestellt.

Alles schon ziemlich verwirrend, wenn die NTOSKRNL.EXE zuvor Probleme beim Systemstart machte.
Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.

Trotzdem danke für die Hilfe. Bis zum nächsten wirklichen Virusfund !!

Gruß,
svnupa

Zitat:

Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.

Dazu kann sich keiner äußern weil du weder VT-Links noch Prüfsummen oder andere Details gepostet hast.

Zitat:

Besonders logisch finde ich die abweichenden Dateigrößen und Hash-Werte auf jeden Fall nicht.

Dazu kann sich keiner äußern weil du weder VT-Links noch Prüfsummen oder andere Details gepostet hast.

Hat sich aufgeklärt. Die Unterschiede ergeben sich aus dem Einsatz des 32/64bit Browsers.
Dann ist auch egal, ob es sich um IE, Chrome oder Firefox handelt.