Моя система поставлена под угрозу? Я получил сообщение о ntoskrnl.exe
Я не уверен, что этот вопрос принадлежит ее или не, но позвольте мне попробовать.
Когда я добираюсь до офиса этим утром, Один из моих colligues имел проблему с его ноутбуком и сказал мне, что он испытал затруднения при перезапуске его и когда он наконец делает он получил сообщение follwoing, и это говорит, что все прибывало из моего IP (ноутбук)
Application has changed since the last time you opened it, process id: 0
Filename: C:\Windows\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\Windows\system32\ntoskrnl.exe
---- New modules: 0 ----
Единственное изменение, которое я внес в свой ноутбук, я вчера включаю XP_cmdshell, так как я не смог запустить некоторый скрипт T-SQL. Я не знаю whetehr, он связан или нет.
Я нахожусь на xp sp3 победы и SQL-сервере 2008
Помогите мне понять, поставлена ли моя система под угрозу, и это - проблема вообще.
Спасибо,
ОБНОВЛЕНИЕ: Я запускаю Антивирус, и он признается!
3 ответа
Я думал бы, что это зависит от того, что Ваш сценарий делает для одного.
Чтобы видеть, была ли Ваша система заражена чем-то, я начал бы сканировать ее с обновленными антивирусными определениями Вашего любимого сканера, а также осведомленного о рекламе и spybot "найти и уничтожить". Можно также запустить проводник процесса, чтобы протестировать и видеть, существуют ли необычные процессы, работающие в фоновом режиме, и автоматически работают (оба из них являются частью Sysinternals, Google для бесплатной загрузки).
Если Вы удобны с Linux, можно настроить систему или VM, чтобы прервать сетевой трафик ноутбука (или иметь зеркальный порт на переключателе) монитор, исходящий сетевой трафик от ноутбука для поиска подозрительного действия и журналов проверки других машин в сети, чтобы видеть, пытается ли компьютер получить доступ к файлам или вещам копии к другим местам без разрешения. Если Вы - администраторский пользователь в сети нет действительно никакого сообщения, как далеко вредоносное программное обеспечение, возможно, прошло через скрытые системные доли и другие доли, к которым у Вас есть законный доступ. Обновите серверы с новыми описаниями вирусов и сделайте, чтобы они сделали сканирование также.
Если ничто действительно не выделяется после проверки Вашей собственной системы, Вы могли бы также выполнить chkdsk на своем компьютере коллег, только для проверки и видеть, если по некоторым причинам существует повреждение, но Вы сказали, что это зарегистрировано где-нибудь, который имел IP Вашей системы, обнаруживающийся... так, чтобы было довольно нечетно.
Выполненный такая же большая проверки офлайн как можно скорее. Необходимо быть онлайн достаточно долго для получения обновлений и последних подписей, и это походит, существует ли заражение, ущерб уже был нанесен, но как только Вы можете, заставить Ваш ноутбук офлайн проверять на заражения и очистку.
Эта ссылка, кажется, имеет некоторую хорошую информацию об удалении шпионского ПО.
Текст сообщения Ваше описание походит на что-то сгенерированное Персональным приложением Брандмауэра Sygate.
Если Ваш коллега только что установил их патчи безопасности с этого прошлого месяца, это могло бы быть связано с этим, патчи в феврале 2010 включали обновления Windows Kernel (иначе ntoskrnl.exe). Если будут проблемы ядра затем, то система, более вероятно, будет синим экранированием, и дампы катастрофического отказа предоставят Вам богатство информации, которая может указать на проблемное программное обеспечение или возможное заражение.
Даже если это - причина этого сообщения, мягко, в системе может все еще быть вредоносное программное обеспечение. Я предложил бы, чтобы Вы искали другие индикаторы компромисса (низкая производительность, странный исходящий сетевой трафик, глупые всплывающие окна, и т.д.)