Doch, das Tool WinDLG sollte auch die anderen Platten testen können...hab ich selber erst vor einigen Tagen gemacht.

WinDLG kann zumindest den SMART-Status auswerfen - und der ist ok. Man muss es nur als Administrator ausführen - Sch...Vista. Die Einzeltests klappen nicht.

Also immer noch der komische GMER-Eintrag - ist das jetzt was oder nicht?

GMER war IMHO ok. Was macht die Auswertung der smserial?

0/41. s.u. smserial war also scheinbar OK.

Was ist das dann für ein Zeug, das in GMER drinsteht? Bei Ausrufezeichen werde ich immer so aufmerksam ... Und was ist dieser komische acehlp Driver, der ausführbar sein soll?

Code: Alles auswählenAufklappen

ATTFilter

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}
.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]
.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)
         

Langsam wirds doch Weihnachten

Ich glaub das alles im Detail zu erläutern geht zu weit
ntkrnlpa.exe ist jedenfalls ein essentieller Bestandteil von Windows. Beim Scannen hat GMER Dir aber nicht soeine Meldung gezeigt oder?

Entschuldigt bitte, wenn ich mal einklinke - vielleicht hilfts ja.
Vor ein paar Tagen - XP-prof.-Client. Gleiches Problem in der Firma (100% Prozzi-Last). Die Kiste hat sich als Spam-Schleuder herausgestellt. Sendet Massenmails zu Viagra, bis zu 1000 St/Stunde (Routerprotokoll). Kiste sofort vom Netz genommen, Prozzi-Last geht runter (schwankend von 0 bis 50%). Installierter Kaspersky merkt absolut nichts.
3 weitere Win-Virenscanner (Avira, AVG, Comodo) finden nichts. Avira rescue-Cd (Linux) findet nichts. PartPE-CD mit Kaspersky findet nichts. Malwarebyte, A-squared und Spybot finden nichts.
Wieder installierten Kasperky auf extrem empfindlich eingestellt, wieder an's Netz genommen. Jetzt merkt der was und meldet Massenmailer - kann den aber nicht dauerhaft blocken, da dieses Mistvieh von Massenmailer die Services.exe benutzt. Wieder vom Netz genommen. Services.exe und svchost.exe per BartPE-CD erst geprüft (Originalzustand) und vorsichtshalber durch Originale ersetzt.
Prozess-Explorer zeigt nichts verdächtiges an, daher:

Gmer angeworfen. Im Reiter "Services" einen Service gefunden "ohne Namen" mit Option "BOOT". Service erst deaktiviert und danach gelöscht. Kiste probeweise wieder an's Netz - sendet nicht mehr, keine unkontrollierte Netzwerkaktivität und Prozessorlast im Leerlauf 0-2%.

Kiste wird geplättet - sicher ist sicher. Trotzdem suche ich "rein aus Neugier" über die Feiertage noch weiter. Ich will den Sauhund erwischen

gruß +schöne Feiertage

@ Arne/cosinus:

Nochmal alles vom Netz getrennt etc. und GMER laufen lassen (hing beim ersten Mal nach 20 Min.). Resultat (Deswegen die Auszeit):

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-23 18:03:40
Windows 6.0.6002 Service Pack 2
Running: 8esxuel0.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys


---- System - GMER 1.0.15 ----

SSDT            97149BEC                                                                                         ZwCreateThread
SSDT            97149BD8                                                                                         ZwOpenProcess
SSDT            97149BDD                                                                                         ZwOpenThread
SSDT            97149BE7                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                                    820E8964 4 Bytes  [EC, 9B, 14, 97] {IN AL, DX ; WAIT ; ADC AL, 0x97}
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                                    820E8B34 4 Bytes  [D8, 9B, 14, 97]
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                                    820E8B50 4 Bytes  [DD, 9B, 14, 97]
.text           ntkrnlpa.exe!KeSetEvent + 621                                                                    820E8D64 4 Bytes  [E7, 9B, 14, 97] {OUT 0x9b, EAX; ADC AL, 0x97}
.reloc          C:\Windows\system32\drivers\acehlp09.sys                                                         section is executable [0x8C7BD780, 0x28F7A, 0xE0000060]
.reloc          C:\Windows\system32\drivers\acedrv09.sys                                                         section is executable [0x99068000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                          Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                         fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b                      
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)  

---- EOF - GMER 1.0.15 ----
         

Scheint also nicht so zu sein, dass da was ist, oder? Aber warum die Ausrufezeichen, warum section is executable?

@ Bullabeiser: Bitte halte mich auf dem Laufenden, klingt ziemlich abgefahren ...

Mein nächster Schritt: Das da

Aber erst nach den Feiertagen - hab gerade "die Schnauze voll"

PS.: ich hab die Datei c:\windows\system32\ndis.sys in konkretem verdacht.

ndis.sys - glaub ich nicht wirklich, dass die dran schuld soll.
@monogram, Du kannst sie ja trotzdem mal bei Virustotal.com auswerten lassen.
Was Bullabeiser da ansprach, hast Du auch "unkontrollierten" Traffic? Blinkt die Traffic-LED des Modems permanent?

@ Arne/cosinus
Vielen Dank. Traffic kann ich so nicht kontrollieren - war der erste in meiner damaligen Siedlung, bei dem DSL lief, und jetzt hab ich nicht mal mehr einen Anzeiger dafür

Was mich eigentlich nur interessieren würde: Zeigt das Gequake in GMER jetzt was an oder nicht? Die von Dir zitierten Warnungen hab ich jedenfalls nicht gesehen. http://www2.gmer.net/gmer.jpg

Und Combofix wäre jetzt die sechste ungeprüfte Software, die ich zum Ausbügeln eines mutmaßlichen Rootkits installieren müsste ...

Zitat:

Traffic kann ich so nicht kontrollieren

Du kannst am Modem oder Router direkt schaun.

Zitat:

Zeigt das Gequake in GMER jetzt was an oder nicht?

Ich hab schonmal erwähnt, dass das GMER Logfile ok ist.

Zitat:

Und Combofix wäre jetzt die sechste ungeprüfte Software, die ich zum Ausbügeln eines mutmaßlichen Rootkits installieren müsste

CF kann einem aber die Arbeit ungemein erleichtern. Halte Dich aber unbedingt an folgende Anleitung!!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lieber Arne,

der Router wird über einen Win98 SP2 Uralt Aldi Laptop gesteuert, den ich nur alle Jubeljahre mal anschmeisse. Bis jetzt lief das ohne Probleme (letztes Hardware-Update so vor 1 a). Das mag ich heute nicht mehr aufmachen, bin schon am Kofferpacken. Gibts irgendein Tool zum anzeigen Traffic am PC? Seitdem ich wireless console habe, bewegt sich da nix mehr.

Wenn Du sagst, in GMER ist nichts, dann ist da nichts. OK, Vielen herzlichen Dank.

Vielleicht ist der Rechner nach 23 Monaten einfach schon zu alt

Fröhliche Weihnachten wünscht Dir monogram

Zitat:

der Router wird über einen Win98 SP2 Uralt Aldi Laptop gesteuert, den ich nur alle Jubeljahre mal anschmeisse.

Was ist denn das für eine Konfig?
Am Router ist normalerweise JEDER PC dran, dann kannst Du den auch von Deinem jetzigen Rechner aus erreichen.
Ich wollte aber eigentlich, dass Du Dir den Router bzw. das Modem direkt anschaust und auf die LEDs achtest.