Trojaner-Board - Verdacht auf Rootkit: SYS-Dateien **LOCKED** + ntkrnlpa.exe + \Driver\atapi

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verdacht auf Rootkit: SYS-Dateien **LOCKED** + ntkrnlpa.exe + \Driver\atapi (https://www.trojaner-board.de/104135-verdacht-rootkit-sys-dateien-locked-ntkrnlpa-exe-driver-atapi.html)

Verdacht auf Rootkit: SYS-Dateien **LOCKED** + ntkrnlpa.exe + \Driver\atapi

Ich mache jetzt doch ein eigenes Thema dafür auf:

Im Thema "HDD sauber - aber eine Datei lässt sich ums Verrecken nicht löschen" hatte ich gepostet:

Zitat:

Nachdem ich mich nun so lange mit fremdem Rechnern beschäftig habe, dachte ich mir, ich scanne spaßeshalber mal meinen eigenen. Das angehängte Logfile von awsMBR hat mir dann erst mal einen leichten Schauer über den Rücken laufen lassen. :wtf:

Hier die vier farblich markierten Zeilen (die oberen beiden waren im Original gelb):

Code:

01:36:12.812    Service atapi C:\WINDOWS\System32\DRIVERS\atapi.sys **LOCKED** 32

01:36:12.875    Service GMSIPCI F:\INSTALL\GMSIPCI.SYS **LOCKED** 21
 01:36:18.500    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b22ec50]<<

01:36:18.515    \Driver\atapi[0x8b2ae360] -> IRP_MJ_CREATE -> 0x8b22ec50

Nach FixMBR war alles immer noch so. Watt iss hier los? :schrei:

Ich bitte um eine Antwort a la "Da iss nix, nur ein Fehlarlarm" :applaus:
Oder etwa doch ...?

Der Rechner an sich läuft unauffällig wie immer.
Grüße aus Troja

Zitat:

Service GMSIPCI F:\INSTALL\GMSIPCI.SYS **LOCKED** 21

Sieht aus, als wäre das eine Systemdatei. Vllt von einer Mainboard-CD?

Der MBR ist jedenfalls ok:

Zitat:

01:36:01.140 Disk 0 Windows XP default MBR code

Das Komische ist, dass während des Suchlaufs gar keine CD in Laufwerk F: drin war. Aber trotzdem F:\INSTALL\GMSIPCI.SYS angemeckert wurde.

Mehr Bauchschmerzen bereiten mir allerdings die beiden rot markierten Einträge:

01:36:18.500 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b22ec50]<<
01:36:18.515 \Driver\atapi[0x8b2ae360] -> IRP_MJ_CREATE -> 0x8b22ec50

Was ist davon zu halten?

Zitat:

Aber trotzdem F:\INSTALL\GMSIPCI.SYS angemeckert wurde.

Das ist aber ein Treiber von einer Mainboard-CD, siehe zB hier => http://www.computerhope.com/cgi-bin/...?p=gmsipci.sys

Zitat:

Mehr Bauchschmerzen bereiten mir allerdings die beiden rot markierten Einträge:

Was da genau gemacht wird weiß ich nicht. Allerdings kannst du nachsehen was von IRP_MJ_CREATE zu halten ist => IRP_MJ_CREATE

Das sollten "einfache" Operationen im Dateisystem sein. Die Dateinamen selbst sind auch legitim, was aber nicht unbedingt heißt, dass diese nicht durch manipulierte/schädliche Varianten mal ausgetauscht wurden.

Ein aswMBR-Log allein sagt daher nicht allzuviel aus. Ich benutze es auch eigentlich nur um zu sehen ob der MBR ok ist oder nicht.

Okay, dann lehne ich doch wieder entspannt zurück. Denn kein andere Viren- bzw. Rootkit-Scanner hatte irgendwas auszusetzen an dem Rechner.

Danke nochmal!