1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

ntoskrnl.exe ongelma ja HJT-logi

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Htm 03.04.2006.

  1. Htm

    Htm Regular member

    Liittynyt:
    20.01.2002
    Viestejä:
    102
    Kiitokset:
    0
    Pisteet:
    26
    Mikähän tämä juttu on, kun palomuuri on alkanut ilmottelemaan, että ntoskrnl.exe:n pääsy verkkoon on blokattu. Eikös tuon pitäisi olla winukan perussysteemejä, jolla ei kai pitäisi olla mitään asiaa verkkoon ?
    Vaikka oon säätäny palomuurin siten, ettei se tuosta enää ilmottaisi, tulee noita ilmoja silti ärsyttävän usein.

    Eikös tuolla ollu jotain tekemistä puskuriylivuotojen kanssa... oisko pöpö?

    winXP home ja Sygaten ilmanen muuri käytössä

    Avastin virusskanneri, trendin onlineskanneri, ad-aware, windows defender ja ewido ajettu, eikä mitään löytyny

    Pitäisikö tuon pääsy vaan sallia, että loppuis nuo ilmottelut...?
     
  2.  
  3. Neptun

    Neptun Active member

    Liittynyt:
    17.01.2005
    Viestejä:
    3,954
    Kiitokset:
    10
    Pisteet:
    68
    Katso, että ntoskrnl.exe sijaitsee tiedostossa Windows\system32.
    Jos se siellä on niin se on OK ja voit sallia sen liikenteen.
    Johtunee jostakin kumman syystä ilmeisesti Sygatesta, että se tuollaista kyselee, muut palomuurit eivät.
     
  4. Htm

    Htm Regular member

    Liittynyt:
    20.01.2002
    Viestejä:
    102
    Kiitokset:
    0
    Pisteet:
    26
    Jep, siellä se mollottaa.

    Lähinnä vaan ihmetyttää, kun tuo aloitti ilmoittelun tuossa pari päivää sitten, ja tekee sitä vähintään 10 min välein. Aiemmin en oo moiseen törmännyt...
     
  5. Ysf

    Ysf Active member

    Liittynyt:
    02.10.2005
    Viestejä:
    1,954
    Kiitokset:
    1
    Pisteet:
    68
    ntoskrnl.exe on tärkeä osanen windowsin käynnistystä. Normaalissa oloissa sen ei pitäisi ilmoitella itsestään käynnistyksen jälkeen, ja sanoisin että sitä ei tarvitse laskea verkkoon.

    viruksista w32.bolzano ja sen variantit muokkaavat tuota ntoskrnl.exe:ä.



     
  6. Htm

    Htm Regular member

    Liittynyt:
    20.01.2002
    Viestejä:
    102
    Kiitokset:
    0
    Pisteet:
    26
    Jeps, tiedossa on että tuo on joidenkin virusten käytettävissä. Sehän tässä nyt vähän takaraivossa kummitteleekin.

    Noh: annoin sille nyt sitten luvan päästä verkkoon tuossa pari tuntia sitten. Nyt palomuuri ilmoitti taas, että oli blokannut sen netistä. Pian tuon jälkeen tuli virustorjunnan ilmoitus, että se oli torjunut DCOM exploit attack:in

    Huomasin, että tuommonen ntoskrnl.exe sijaitsee C:\Windows\system32 -kansion lisäksi myös C:\Windows\Criver Cache\i386 ja C:\Windows\ServicePackFiles\i386 ... mitäs nuo sitten ovat...?

    Voisinpa kokeilla jotain muuta muuria, jos se vika vaikka Symantecissa oliskin...

    EDIT: niitä tuli jo toinen ja samasta osoitteesta...

    EDIT: kattelin tuossa palomuurin logeja, ja tuosta kyseisestä osotteesta tulleen DCOM exploit hyökkäyksen ip näkyy siellä.
    Otti näköjään yhteyttä näihin:
    C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    C:\WINDOWS\System32\svchost.exe
    ja kas kummaa...
    C:\WINDOWS\system32\ntoskrnl.exe

    Eli mitäs v_ttua?! Yrittääkö joku stn juippi mun koneelle, vai tulkitsenko mä tätä ihan väärin.

    Ja kuuluiskohan tää muuten tuonne virukset/haittaohjelmat alueelle muuten...
     
    Viimeksi muokattu: 03.04.2006
  7. Neptun

    Neptun Active member

    Liittynyt:
    17.01.2005
    Viestejä:
    3,954
    Kiitokset:
    10
    Pisteet:
    68
    Jep, sitähän varten mä kyselin, että onko se oikeassa paikassa. Eli sulla on nyt ainakin vakavaa syytä epäillä örkkejä tai tunkeutumisyrityksiä koneessa. Maailmalla näkyi, että juuri Sygaten yhteydessä on ihmisillä ollut ongelmia ntoskrnl.exe asiassa. Tiedä sitten, kyllähän tunkeutujia riittää oli mikä palomuuri tahansa. Ei ole hätävarjelun liioittelua jos teet hjt lokin ja panet sen(nykyohjeiden mukaan tänne?) tuonne virusosastolle. Myös voit kokeilla jotakin toista palomuuria, esim. Keriota tai ZoneAlarmia. Huomaa myös, että palomuurien ohjelmat tarttuvat koneeseen kuin terva. Onkin syytä katsoa niiden kotisivulta omat poistosuositukset.
     
  8. Htm

    Htm Regular member

    Liittynyt:
    20.01.2002
    Viestejä:
    102
    Kiitokset:
    0
    Pisteet:
    26
    noniin, tässä olis nyt tätä hjt -logia:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:04:21, on 3.4.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UStorSrv.exe
    C:\Program Files\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Launch Manager\LaunchAp.exe
    C:\Program Files\Launch Manager\HotkeyApp.exe
    C:\Program Files\Launch Manager\CtrlVol.exe
    C:\Program Files\Launch Manager\Wbutton.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Tor\TorCP\torcp.exe
    C:\Program Files\Tor\Tor\tor.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\hjt\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [TorCP] C:\Program Files\Tor\TorCP\torcp.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098196606657
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

     
  9. mika

    mika Moderator Ylläpitäjä

    Liittynyt:
    26.03.2003
    Viestejä:
    5,157
    Kiitokset:
    0
    Pisteet:
    116
    @Htm:
    postaa sitten jatkossa nämä lokit omaan paikkaansa eli "virukset ja haittaohjelmat"-alueelle, eikä näin toisen ongelman perään, kuten nyt.

    edit: siirsin koko ketjun tälle alueelle, jatketaan täällä.
     
    Viimeksi muokattu: 04.04.2006
  10. Ante1089

    Ante1089 Member

    Liittynyt:
    11.04.2006
    Viestejä:
    1
    Kiitokset:
    0
    Pisteet:
    11
    Täälä kyseinen sovellus yritti ottaa yhteyttä verkossa olevalle toiselle koneelle siirron ollessa käynnissä sieltä, ei ole ainakaan koskaan ennen yrittänyt, onkohan normaalia?
     
  11. Jarska92

    Jarska92 Regular member

    Liittynyt:
    27.10.2006
    Viestejä:
    1,132
    Kiitokset:
    0
    Pisteet:
    46
    hmm...mun kaverilla tuo sygate ilmoittaa aina että "NT Ydin Järjestelmä (ntoskrnl.exe)" blokattu. tulee ihan koko ajan sitä, vaikkei mitään olisikaan. mutta nyt se alkoi kysymään multakin että päästetäänkö nettiin, ihan ensimmäistä kertaa koko koneen käytön aikana. ja kun kaveri siirsi vain screenshotilla ottamaansa kuvaa niin tuo tuli kysymään. mutta kuva tuli valmiiksi vaikken ole vielä hyväksynytkään tuota ilmoitusta, kun sygate on itsellänikin. jos estän se valittaa koko ajan siitä ja jos sallin niin en tiedä mitä se tekee...mutta en halua viruksia koneelle kun nimenomaan mahdollisimman puhtaana, eli onko kellään neuvoa? nyt estän ton mutten pistä muistiin sitä sääntöä vaan katson kysyykö uudelleen.
     

Jaa tämä sivu