|
ntoskrnl.exe ongelma ja HJT-logi
|
|
|
Htm
Member
|
3. huhtikuuta 2006 @ 09:57 |
Linkki tähän viestiin
|
|
Mikähän tämä juttu on, kun palomuuri on alkanut ilmottelemaan, että ntoskrnl.exe:n pääsy verkkoon on blokattu. Eikös tuon pitäisi olla winukan perussysteemejä, jolla ei kai pitäisi olla mitään asiaa verkkoon ?
Vaikka oon säätäny palomuurin siten, ettei se tuosta enää ilmottaisi, tulee noita ilmoja silti ärsyttävän usein.
Eikös tuolla ollu jotain tekemistä puskuriylivuotojen kanssa... oisko pöpö?
winXP home ja Sygaten ilmanen muuri käytössä
Avastin virusskanneri, trendin onlineskanneri, ad-aware, windows defender ja ewido ajettu, eikä mitään löytyny
Pitäisikö tuon pääsy vaan sallia, että loppuis nuo ilmottelut...?
There were is will - there is a road -M.A.
|
AfterDawn Addict
2 tuotearviota
|
3. huhtikuuta 2006 @ 10:49 |
Linkki tähän viestiin
|
|
Katso, että ntoskrnl.exe sijaitsee tiedostossa Windows\system32.
Jos se siellä on niin se on OK ja voit sallia sen liikenteen.
Johtunee jostakin kumman syystä ilmeisesti Sygatesta, että se tuollaista kyselee, muut palomuurit eivät.
|
|
Htm
Member
|
3. huhtikuuta 2006 @ 10:59 |
Linkki tähän viestiin
|
|
Jep, siellä se mollottaa.
Lähinnä vaan ihmetyttää, kun tuo aloitti ilmoittelun tuossa pari päivää sitten, ja tekee sitä vähintään 10 min välein. Aiemmin en oo moiseen törmännyt...
There were is will - there is a road -M.A.
|
Senior Member
|
3. huhtikuuta 2006 @ 11:15 |
Linkki tähän viestiin
|
|
ntoskrnl.exe on tärkeä osanen windowsin käynnistystä. Normaalissa oloissa sen ei pitäisi ilmoitella itsestään käynnistyksen jälkeen, ja sanoisin että sitä ei tarvitse laskea verkkoon.
viruksista w32.bolzano ja sen variantit muokkaavat tuota ntoskrnl.exe:ä.
|
|
Htm
Member
|
3. huhtikuuta 2006 @ 13:28 |
Linkki tähän viestiin
|
|
Jeps, tiedossa on että tuo on joidenkin virusten käytettävissä. Sehän tässä nyt vähän takaraivossa kummitteleekin.
Noh: annoin sille nyt sitten luvan päästä verkkoon tuossa pari tuntia sitten. Nyt palomuuri ilmoitti taas, että oli blokannut sen netistä. Pian tuon jälkeen tuli virustorjunnan ilmoitus, että se oli torjunut DCOM exploit attack:in
Huomasin, että tuommonen ntoskrnl.exe sijaitsee C:\Windows\system32 -kansion lisäksi myös C:\Windows\Criver Cache\i386 ja C:\Windows\ServicePackFiles\i386 ... mitäs nuo sitten ovat...?
Voisinpa kokeilla jotain muuta muuria, jos se vika vaikka Symantecissa oliskin...
EDIT: niitä tuli jo toinen ja samasta osoitteesta...
EDIT: kattelin tuossa palomuurin logeja, ja tuosta kyseisestä osotteesta tulleen DCOM exploit hyökkäyksen ip näkyy siellä.
Otti näköjään yhteyttä näihin:
C:\WINDOWS\system32\DRIVERS\ndisuio.sys
C:\WINDOWS\System32\svchost.exe
ja kas kummaa...
C:\WINDOWS\system32\ntoskrnl.exe
Eli mitäs v_ttua?! Yrittääkö joku stn juippi mun koneelle, vai tulkitsenko mä tätä ihan väärin.
Ja kuuluiskohan tää muuten tuonne virukset/haittaohjelmat alueelle muuten...
There were is will - there is a road -M.A.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 3. huhtikuuta 2006 @ 13:53
|
AfterDawn Addict
2 tuotearviota
|
3. huhtikuuta 2006 @ 14:47 |
Linkki tähän viestiin
|
Jep, sitähän varten mä kyselin, että onko se oikeassa paikassa. Eli sulla on nyt ainakin vakavaa syytä epäillä örkkejä tai tunkeutumisyrityksiä koneessa. Maailmalla näkyi, että juuri Sygaten yhteydessä on ihmisillä ollut ongelmia ntoskrnl.exe asiassa. Tiedä sitten, kyllähän tunkeutujia riittää oli mikä palomuuri tahansa. Ei ole hätävarjelun liioittelua jos teet HjT lokin ja panet sen(nykyohjeiden mukaan tänne?) tuonne virusosastolle. Myös voit kokeilla jotakin toista palomuuria, esim. Keriota tai ZoneAlarmia. Huomaa myös, että palomuurien ohjelmat tarttuvat koneeseen kuin terva. Onkin syytä katsoa niiden kotisivulta omat poistosuositukset.
|
|
Htm
Member
|
3. huhtikuuta 2006 @ 16:08 |
Linkki tähän viestiin
|
noniin, tässä olis nyt tätä HjT -logia:
Logfile of HijackThis v1.99.1
Scan saved at 20:04:21, on 3.4.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Tor\TorCP\torcp.exe
C:\Program Files\Tor\Tor\tor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\hjt\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TorCP] C:\Program Files\Tor\TorCP\torcp.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x8...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
There were is will - there is a road -M.A.
|
Moderator
|
3. huhtikuuta 2006 @ 17:03 |
Linkki tähän viestiin
|
|
@Htm:
postaa sitten jatkossa nämä lokit omaan paikkaansa eli "virukset ja haittaohjelmat"-alueelle, eikä näin toisen ongelman perään, kuten nyt.
edit: siirsin koko ketjun tälle alueelle, jatketaan täällä.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 4. huhtikuuta 2006 @ 19:29
|
|
Ante1089
Newbie
|
11. huhtikuuta 2006 @ 02:21 |
Linkki tähän viestiin
|
|
Täälä kyseinen sovellus yritti ottaa yhteyttä verkossa olevalle toiselle koneelle siirron ollessa käynnissä sieltä, ei ole ainakaan koskaan ennen yrittänyt, onkohan normaalia?
|
|
Mainos
|
|
|
Senior Member
10 tuotearviota
|
22. helmikuuta 2007 @ 16:02 |
Linkki tähän viestiin
|
|
hmm...mun kaverilla tuo sygate ilmoittaa aina että "NT Ydin Järjestelmä (ntoskrnl.exe)" blokattu. tulee ihan koko ajan sitä, vaikkei mitään olisikaan. mutta nyt se alkoi kysymään multakin että päästetäänkö nettiin, ihan ensimmäistä kertaa koko koneen käytön aikana. ja kun kaveri siirsi vain screenshotilla ottamaansa kuvaa niin tuo tuli kysymään. mutta kuva tuli valmiiksi vaikken ole vielä hyväksynytkään tuota ilmoitusta, kun sygate on itsellänikin. jos estän se valittaa koko ajan siitä ja jos sallin niin en tiedä mitä se tekee...mutta en halua viruksia koneelle kun nimenomaan mahdollisimman puhtaana, eli onko kellään neuvoa? nyt estän ton mutten pistä muistiin sitä sääntöä vaan katson kysyykö uudelleen.
|
