Benötige Hilfe bei Kernelmodul-Identifizierung

MightyMarc · 05.12.2005, 18:53

Hi,

ich habe meinen Rechner (Windows XP Pro, Patchlvl aktuell) mit dem RootKit Hook Analyzer und KProcCheck gescannt und bin auf einen Eintrag gestossen, der mich stutzig macht. Es handelt sich dabei um ein "namenloses" Kernelmodul dessen Name - wie es das Log vermuten lässt - aus 9 Leerzeichen besteht (Offset F774B000). Rootkitrevealer zeigte keine Anomalie und auch Blacklight bleibt stumm. Ein Virenscan mit F-Secure brachte auch keine Erkenntnisse. Hat hier vllt jemand nen Tip, wie ich das Kernelmodul identifizieren kann?

Gruß & Danke

Mighty Marc

KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D0000 - \WINDOWS\system32\ntoskrnl.exe
806E5000 - \WINDOWS\system32\hal.dll
F7D2F000 - \WINDOWS\system32\KDCOM.DLL
F7C3F000 - \WINDOWS\system32\BOOTVID.dll
F77E8000 - d347bus.sys
F77B9000 - ACPI.sys
F7D31000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F77A8000 - pci.sys
F782F000 - isapnp.sys
F7DF7000 - pciide.sys
F7AAF000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F783F000 - MountMgr.sys
F7789000 - ftdisk.sys
F7D33000 - dmload.sys
F7763000 - dmio.sys
F7AB7000 - PartMgr.sys
F784F000 - VolSnap.sys
F774B000 -
F7D35000 - d347prt.sys
F7733000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
F771F000 - nvatabus.sys
F785F000 - disk.sys
F786F000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F7700000 - fltmgr.sys
F7ABF000 - PxHelp20.sys
F76E9000 - KSecDD.sys
F765C000 - Ntfs.sys
F764A000 - fsdfw.sys
F761D000 - \WINDOWS\System32\drivers\NDIS.SYS
F787F000 - \WINDOWS\System32\drivers\fsndis5.sys
F7AC7000 - nv_agp.sys
F7602000 - Mup.sys
F79CF000 - \SystemRoot\System32\DRIVERS\amdk7.sys
F7B47000 - \SystemRoot\System32\DRIVERS\usbohci.sys
F7576000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F7B4F000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F7562000 - \SystemRoot\system32\DRIVERS\NVENET.sys
F7505000 - \SystemRoot\system32\drivers\cmaudio.sys
F74E1000 - \SystemRoot\system32\drivers\portcls.sys
F79DF000 - \SystemRoot\system32\drivers\drmk.sys
F74BE000 - \SystemRoot\system32\drivers\ks.sys
F74AD000 - \SystemRoot\System32\DRIVERS\el90xbc5.sys
F79EF000 - \SystemRoot\system32\DRIVERS\imapi.sys
F79FF000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F7A0F000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7161000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
F714D000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F7B57000 - \SystemRoot\System32\DRIVERS\fdc.sys
F713C000 - \SystemRoot\System32\DRIVERS\serial.sys
F7CEB000 - \SystemRoot\System32\DRIVERS\serenum.sys
F7128000 - \SystemRoot\System32\DRIVERS\parport.sys
F7A1F000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F7B5F000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F7F00000 - \SystemRoot\System32\DRIVERS\audstub.sys
F7A2F000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7CEF000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7111000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F7A3F000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F7A4F000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7B67000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7100000 - \SystemRoot\System32\DRIVERS\psched.sys
F7A5F000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F7B6F000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F7B77000 - \SystemRoot\System32\DRIVERS\raspti.sys
F70A7000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
F7A6F000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7B7F000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F7D4B000 - \SystemRoot\System32\DRIVERS\swenum.sys
F7073000 - \SystemRoot\System32\DRIVERS\update.sys
F7D0B000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F7A7F000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7A8F000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7D4D000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F75B5000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F7B87000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F7D4F000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7EC9000 - \SystemRoot\System32\Drivers\Null.SYS
F7D51000 - \SystemRoot\System32\Drivers\Beep.SYS
F7B97000 - \SystemRoot\System32\drivers\vga.sys
F7D53000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7D55000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7B9F000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7BA7000 - \SystemRoot\System32\Drivers\Npfs.SYS
F75A9000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F5E78000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F5E20000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F5DFE000 - \SystemRoot\System32\drivers\afd.sys
F78AF000 - \SystemRoot\System32\DRIVERS\netbios.sys
F5DD3000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F5D3C000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F78CF000 - \SystemRoot\System32\Drivers\Fips.SYS
F5D1B000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F5CF8000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F7CE3000 - \SystemRoot\System32\DRIVERS\hidusb.sys
F78EF000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
F7BB7000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F70FC000 - \SystemRoot\System32\DRIVERS\mouhid.sys
BF800000 - \SystemRoot\System32\win32k.sys
F70E4000 - \SystemRoot\System32\drivers\Dxapi.sys
F7BBF000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F7E56000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
F797F000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F7D65000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F430C000 - \SystemRoot\System32\drivers\aspi32.sys
F7BC7000 - \??\C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys
F401E000 - \SystemRoot\System32\DRIVERS\srv.sys
F40C0000 - \SystemRoot\System32\DRIVERS\secdrv.sys
F4C70000 - \??\C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys
F4268000 - \??\C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSgk.sys
F4258000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F3B59000 - \SystemRoot\system32\drivers\wdmaud.sys
F3DC6000 - \SystemRoot\system32\drivers\sysaudio.sys
F2F25000 - \SystemRoot\System32\Drivers\IsPubDrv.sys
F7EE9000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 116
----------------------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:52:30, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\Files\Programme\Netz und Kommunkation\putty.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Muellhalde\Desktop\Systemmonitoring\HijackThis.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120484124281
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CEBD0D1-1000-419D-BD1A-ACC4BB9BEEA7}: NameServer = 10.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{419C35C8-C61B-416F-9C15-3556C8A67017}: NameServer = 192.168.1.254
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

MightyMarc · 05.12.2005, 21:05

da ich die Editfunktion nicht gefunden habe, musste halt ein reply her...

autoruns-Log:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

+ C:\WINDOWS\system32\userinit.exe Userinit-Anmeldeanwendung Microsoft Windows Publisher c:\windows\system32\userinit.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

+ Explorer.exe Windows Explorer Microsoft Windows Publisher c:\windows\explorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ F-Secure Manager F-Secure Settings and Statistics (Not verified) F-Secure Corporation c:\programme\f-secure internet security\common\fsm32.exe

+ F-Secure Startup Wizard F-Secure PEX Start-up Wizard (Not verified) F-Secure Corporation c:\programme\f-secure internet security\fsgui\fssw.exe

+ F-Secure TNB tnbutil (Not verified) F-Secure Corporation c:\programme\f-secure internet security\tnb\tnbutil.exe

+ KernelFaultCheck Windows Error Reporting Dump Reporting Tool Microsoft Windows Publisher c:\windows\system32\dumprep.exe

+ NvCplDaemon NVIDIA Display Properties Extension Microsoft Windows Hardware Compatibility Publisher c:\windows\system32\nvcpl.dll

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

+ F-Secure 2006.lnk F-Secure 2006 (Not verified) F-Secure Internet Security 2005 c:\programme\f-secure internet security\backweb\4476822\program\fspex.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ CTFMON.EXE CTF Loader Microsoft Windows Publisher c:\windows\system32\ctfmon.exe

+ Skype Skype - Free Internet Telephony Skype Technologies SA c:\programme\skype\phone\skype.exe

Rootkitrevealer-Log:

HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\DefaultIcon 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\command 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Application 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\gopher\shell\open\ddeexec\Topic 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Ole 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\ClientProtocols 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NameService 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\NetBios 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\Rpc\SecurityService 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\DefaultIcon 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\fdik\Windows-Dienste abschalten\Backup\telnet\shell\open\command 13.04.2005 15:54 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 15.11.2005 02:29 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 05.12.2005 16:52 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 11.11.2005 13:11 0 bytes Hidden from Windows API.

--------------------------------------------------------------------------------------------------------------------------

regmon zeigt lediglich Aktivitäten von F-Secure und C:\WINDOWS\System32\svchost.exe -k netsvcs (Zugriffe auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Security) sowie C:\WINDOWS\Explorer.EXE (Zugriffe auf HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage sowie auf die NICs)

Nix Spannendes dabei. Aber das "namenlose" Kernelmodul geht mir nicht aus dem Kopf...
Any ideas?

MightyMarc · 06.12.2005, 17:06

Also irgendwie habe ich den Verdacht, dass es sich bei dem namenlosen Eintrag um eine wildgewordene atapi.sys handeln könnte.

Könnte mal bitte jemand der Daemon Tools installiert hat, einen Scan mit RootKit Hook Analyzer (Registerkarte 'Modules') oder KProcCheck (kproccheck.exe -d) machen und mir hier mitteilen, ob er ebenfalls einen nicht näher benannten Eintrag hat, wie er sich in meinem oben gepostetem KProcCheck-Log finden lässt.

Gruß und Danke

MightyMarc

Benötige Hilfe bei Kernelmodul-Identifizierung

Plagegeister aller Art und deren Bekämpfung: Benötige Hilfe bei Kernelmodul-Identifizierung