Maus und Tastatur hängen - Rootkit schuld?

[Turok]

Hallo,
ich habe das Problem, dass beim Spielen manchmal Tastatur und Maus für kurze Zeit nicht mehr reagieren. Das passiert nur, wenn ich mich mit der Tastatur bewege UND mit der Maus umsehe. Nur umsehen oder nur bewegen klappt problemlos.

Dies ist jedoch nur der Anfang meiner Geschichte

Ich poste deshalb nicht im Games Bereich, weil ich glaube das Problem gefunden zu haben. Ich habe den Win TT Sicherheitscheck durchgeführt und das Programm IceSword hat auch etwas gefunden:
NtClose, ZwClose ..................................PROCMON11.SYS
NtCreateKey, ZwCreateKey....................PROCMON11.SYS
NtDeleteKey, ZwDeleteKey ....................PROCMON11.SYS
NtDeleteValueKey, ZwDeleteValueKey.....PROCMON11.SYS
NtEnumerateKey, ZwEnumerateKey.........PROCMON11.SYS
NtEnumerateValueKey, ZwEnumerateValueKey PROCMON11.SYS
NtFlushKey, ZwFlushKey..................PROCMON11.SYS
NtLoadKey, ZwLoadKey.................. PROCMON11.SYS
NtOpenKey, ZwOpenKey................ PROCMON11.SYS
NtQueryKey, ZwQueryKey ............PROCMON11.SYS
NtQueryValueKey, ZwQueryValueKey......PROCMON11.SYS
NtSetValueKey, ZwSetValueKey .............PROCMON11.SYS
NtUnloadKey, ZwUnloadKey ...................PROCMON11.SYS

Danach habe ich erstmal versucht über das Programm etwas gegen diese PROCMON11.SYS zu unternehmen, aber da habe ich nichts gefunden. Nebenbei kam ich auf die Idee Bitdefender wieder zu deinstallieren (man hört ja hier oft, dass zu viele verschiedene Scanner sich gegenseitig mehr blockieren als nutzen). Bei der Deinstallation kam ein Bluescreen bei dem als Letzes stand: bdrsdrv.sys

PC neu gestartet, wieder in IceSword und jetzt gibt es die gleichen meldungen, jedoch statt PROCMON11.SYS jetzt BitDefender 10\bdrsrv.sys.

Ist das die Ursache für mein Problem? Kann ich da überhaupt ohne neu aufzusetzen etwas unternehmen?

Danke!

Edit: Mir ist gerade noch etwas eingefallen: Ich hatte vor einigen Tagen nach dem Systemstart die Meldung: "Persönliche Einstellungen einrichten für: svchost.exe" Ich kenne den genauen Wortlaut nicht mehr. Das Problem ist auch nicht mehr aufgetreten, aber vielleicht hilft es euch bei der Problemerkennung.

[Funkenzupfer]

Hallo Turok!

Deinstalliere bitte einmal diese beiden Programme, von denen die Dateien z.T. stammen:

* Sysinternals Prozessmonitor
* Bitdefender (Davon sind wohl noch Resteinträge in der Windowsregistrierung übrig)

Außerdem deinstalliere bitte

* Icesword

Notfalls startest Du das System zum Deinstallieren im abgesicherten Modus mit Adminrechten. (F8 beim Start, dann "Abgesichert" auswählen)

Danach checke das System hiermit:
Russinovich's RootkitRevealer

Poste einmal, was damit gefunden wird. Deinstalliere oder lösche aber erstmal nichts weiter.

Zusätzlich kannst Du noch per Live-Disk (Knoppicillin) von einem Fremdbetriebssystem aus einen Test auf Viren und Rootkits machen, um auch die letzten Tunichtgute aufzuspüren, die sich unterhalb des laufenden Windows verkriechen.

Wenn danach alles sauber ist, kannst Du Deine normale Virenschutzsoftware wieder aufspielen. Nur wenn das alles nichts fruchtet, mußt Du Dein System neu aufsetzen.

Achso, Sysinternals Prozessmonitor ("PROCMON11.SYS") arbeitet tatsächlich als eine Art Rootkit unterhalb der Systemebene von Windows, sonst könnte er ja die ganzen Systemprozesse nicht beobachten. Das sollte jedem klar sein, der sich solche (wirklich nützlichen) Werkzeuge installiert, und es gibt normalerweise keinen Grund, den mit einem Virenschutzprogramm zu beseitigen, einfaches Deinstallieren hätte Dir den ganzen nachfolgenden Ärger wohl erspart...

Viel Erfolg

Grüße
Funkenzupfer.

[Turok]

Danke für deine Antwort, Funkenzupfer.

Bitdefender deinstallieren funktioniert nicht. Ich habe erst versucht einfach erneut zu deinstallieren, aber da kam nur die Meldung das nichts installiert wäre. Der Ordner war noch vollständig vorhanden. Also habe ich Bitdefender nochmal in den Ordner installiert und wieder deinstalliert. Hat zwar funktioniert aber das Programm läuft immer noch und der Ordner immer noch voll.

Sysinternals Prozessmonitor habe ich überhaupt nicht installiert und Icesword muste ich nicht installieren.

Das Ergebnis von RootKitRevealer ist angehängt.

[Funkenzupfer]

OK, *darüber*, würde ich mir jetzt wirklich Gedanken machen:

Sysinternals Prozessmonitor habe ich überhaupt nicht installiert

Der Prozess PROCMON11.SYS gehört definitiv zu diesem Tool, das Microsoft unlängst von Sysinternals übernommen hat.

Stelle erst einmal fest, ob die Datei wenigstens unverändert ist, das kannst Du hiermit erledigen:

PROCMON11.SYS Information about process

Sofern Dein Exemplar der Datei tatsächlich den korrekten Hashcode hat, mußt Du Dir erstmal keine Sorgen über den Rootkitalarm machen. Denn dieses Werkzeug ist dafür bekannt, von allzu gestrengen Scannern fälschlich als Rootkit identifiert zu werden (wie schon geschrieben, es besitzt einige vergleichbare Eigenschaften).

Dann bliebe nur eine Frage: Wenn Du es nicht installiert hast -- wer dann?

Grüße
Funkenzupfer.

[Turok]

Leider kann ich die "procmon11.sys" nicht finden. Sie müßte doch unter Windows/system32/drivers sein?

Mit der Windows-Suche finde ich nur "PROCMON.EXE-0684EE13.pf" unter C:\Windows\Prefetch.

MfG Turok

[Funkenzupfer]

Ein Eintrag im Prefetch-Ordner (eine Art Schnellstart-Cache mit Infos zu oft genutzten Programmen) beweist, daß der genannte Prozessmonitor auf Deinem System installiert war, das zugehörige ausführbare Programm heißt tatsächlich procmon.exe. Wenn der Prefetch-Ordner die einzige Fundstelle ist, muß es also schon wieder deinstalliert worden sein.

Normalerweise weiß man es, wenn man so ein Werkzeug auf seinem Rechner installiert und wieder deinstalliert hat. Wenn Du keine logische Erklärung dafür findest, würde ich Dir dazu raten, dem System nicht mehr zu trauen und es doch neu aufzusetzen.

Denn: Sind die fraglichen Dateien nicht mehr
auffindbar, kannst Du auch nicht mehr prüfen, ob es wirklich nur diese harmlosen Werkzeuge waren, oder ob sich unter der Tarnung unverfänglicher Dateinamen eine Schadsoftware Zutritt verschafft hat. Ein denkbarer Ansatz wäre immerhin noch, daß eines Deiner Virenschutzprogramme Russinovichs Prozessmonitor selbst mitgebracht hatte... Schau' also mal in den Handbüchern nach, ob Du darin einen Hinweis darauf findest.

Was jetzt m.E. fällig wäre: Ein ausführlicher Systemanalyse ohne das installierte Windows zu booten, also von einer Live-Disk (z.B. Knoppicillin) aus. Aber selbst wenn diese ohne Befund bleibt, würde ich ohne stichhaltige Erklärung für das mysteriöse Auftauchen und Verschwinden der Programmdateien und -Bibliotheken diesem System keine wertvollen Daten mehr anvertrauen.

Aber das ist meine persönliche Einschätzung; Du mußt selbst entscheiden, ob Dir ein wirklich vertrauenswürdiges System den Arbeitsaufwand der Neuinstallation wert ist.

Tip: In diesem Zusammenhang kann ich nur empfehlen, von jedem vollständig eingerichteten Rechner unmittelbar nach Abschluß der Einrichtung ein Komplettbackup aller Festplatten einschließlich deren MBRs zu ziehen, das in so einem Zweifelsfall innerhalb von 15...30 Minuten auf die Platten zurückgeschrieben ist, ohne das man jedes mal tagelang mit Systemeinrichtung, Einstellungen und Programminstallation nach eigenen Bedürfnissen verbringen muß. So ein Image auf DVDs muß man natürlich anfertigen, bevor ein Schaden eingetreten ist, also am besten sofort wenn man das System genau so hat, wie man es braucht.

Grüße
Funkenzupfer.

[Turok]

Danke für deine Hilfe.

Ich werde warscheinlich am Wochenende wirklich den Rechner neu aufsetzen. Das ist wohl das einzige wirklich sichere Mittel.