Mikähän tämä juttu on, kun palomuuri on alkanut ilmottelemaan, että ntoskrnl.exe:n pääsy verkkoon on blokattu. Eikös tuon pitäisi olla winukan perussysteemejä, jolla ei kai pitäisi olla mitään asiaa verkkoon ? Vaikka oon säätäny palomuurin siten, ettei se tuosta enää ilmottaisi, tulee noita ilmoja silti ärsyttävän usein. Eikös tuolla ollu jotain tekemistä puskuriylivuotojen kanssa... oisko pöpö? winXP home ja Sygaten ilmanen muuri käytössä Avastin virusskanneri, trendin onlineskanneri, ad-aware, windows defender ja ewido ajettu, eikä mitään löytyny Pitäisikö tuon pääsy vaan sallia, että loppuis nuo ilmottelut...?
Katso, että ntoskrnl.exe sijaitsee tiedostossa Windows\system32. Jos se siellä on niin se on OK ja voit sallia sen liikenteen. Johtunee jostakin kumman syystä ilmeisesti Sygatesta, että se tuollaista kyselee, muut palomuurit eivät.
Jep, siellä se mollottaa. Lähinnä vaan ihmetyttää, kun tuo aloitti ilmoittelun tuossa pari päivää sitten, ja tekee sitä vähintään 10 min välein. Aiemmin en oo moiseen törmännyt...
ntoskrnl.exe on tärkeä osanen windowsin käynnistystä. Normaalissa oloissa sen ei pitäisi ilmoitella itsestään käynnistyksen jälkeen, ja sanoisin että sitä ei tarvitse laskea verkkoon. viruksista w32.bolzano ja sen variantit muokkaavat tuota ntoskrnl.exe:ä.
Jeps, tiedossa on että tuo on joidenkin virusten käytettävissä. Sehän tässä nyt vähän takaraivossa kummitteleekin. Noh: annoin sille nyt sitten luvan päästä verkkoon tuossa pari tuntia sitten. Nyt palomuuri ilmoitti taas, että oli blokannut sen netistä. Pian tuon jälkeen tuli virustorjunnan ilmoitus, että se oli torjunut DCOM exploit attack:in Huomasin, että tuommonen ntoskrnl.exe sijaitsee C:\Windows\system32 -kansion lisäksi myös C:\Windows\Criver Cache\i386 ja C:\Windows\ServicePackFiles\i386 ... mitäs nuo sitten ovat...? Voisinpa kokeilla jotain muuta muuria, jos se vika vaikka Symantecissa oliskin... EDIT: niitä tuli jo toinen ja samasta osoitteesta... EDIT: kattelin tuossa palomuurin logeja, ja tuosta kyseisestä osotteesta tulleen DCOM exploit hyökkäyksen ip näkyy siellä. Otti näköjään yhteyttä näihin: C:\WINDOWS\system32\DRIVERS\ndisuio.sys C:\WINDOWS\System32\svchost.exe ja kas kummaa... C:\WINDOWS\system32\ntoskrnl.exe Eli mitäs v_ttua?! Yrittääkö joku stn juippi mun koneelle, vai tulkitsenko mä tätä ihan väärin. Ja kuuluiskohan tää muuten tuonne virukset/haittaohjelmat alueelle muuten...
Jep, sitähän varten mä kyselin, että onko se oikeassa paikassa. Eli sulla on nyt ainakin vakavaa syytä epäillä örkkejä tai tunkeutumisyrityksiä koneessa. Maailmalla näkyi, että juuri Sygaten yhteydessä on ihmisillä ollut ongelmia ntoskrnl.exe asiassa. Tiedä sitten, kyllähän tunkeutujia riittää oli mikä palomuuri tahansa. Ei ole hätävarjelun liioittelua jos teet hjt lokin ja panet sen(nykyohjeiden mukaan tänne?) tuonne virusosastolle. Myös voit kokeilla jotakin toista palomuuria, esim. Keriota tai ZoneAlarmia. Huomaa myös, että palomuurien ohjelmat tarttuvat koneeseen kuin terva. Onkin syytä katsoa niiden kotisivulta omat poistosuositukset.
noniin, tässä olis nyt tätä hjt -logia: Logfile of HijackThis v1.99.1 Scan saved at 20:04:21, on 3.4.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avast4\aswUpdSv.exe C:\Program Files\Avast4\ashServ.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UStorSrv.exe C:\Program Files\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Tor\TorCP\torcp.exe C:\Program Files\Tor\Tor\tor.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\hjt\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [TorCP] C:\Program Files\Tor\TorCP\torcp.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098196606657 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
@Htm: postaa sitten jatkossa nämä lokit omaan paikkaansa eli "virukset ja haittaohjelmat"-alueelle, eikä näin toisen ongelman perään, kuten nyt. edit: siirsin koko ketjun tälle alueelle, jatketaan täällä.
Täälä kyseinen sovellus yritti ottaa yhteyttä verkossa olevalle toiselle koneelle siirron ollessa käynnissä sieltä, ei ole ainakaan koskaan ennen yrittänyt, onkohan normaalia?
hmm...mun kaverilla tuo sygate ilmoittaa aina että "NT Ydin Järjestelmä (ntoskrnl.exe)" blokattu. tulee ihan koko ajan sitä, vaikkei mitään olisikaan. mutta nyt se alkoi kysymään multakin että päästetäänkö nettiin, ihan ensimmäistä kertaa koko koneen käytön aikana. ja kun kaveri siirsi vain screenshotilla ottamaansa kuvaa niin tuo tuli kysymään. mutta kuva tuli valmiiksi vaikken ole vielä hyväksynytkään tuota ilmoitusta, kun sygate on itsellänikin. jos estän se valittaa koko ajan siitä ja jos sallin niin en tiedä mitä se tekee...mutta en halua viruksia koneelle kun nimenomaan mahdollisimman puhtaana, eli onko kellään neuvoa? nyt estän ton mutten pistä muistiin sitä sääntöä vaan katson kysyykö uudelleen.
