Supportnet / Forum / WindowsXP
Das will dauernd ins Internet
Frage
The executable has changed since the last time you used: C:\WINDOWS\System32\ntoskrnl.exe
File Version : 5.1.2600.1106 (xpsp1.020828-1920)
File Description : NT-Kernel und -System
File Path : C:\WINDOWS\System32\ntoskrnl.exe
Process ID : 0x4 (Heximal) 4 (Decimal)
Connection origin : remote initiated
Protocol : TCP
Local Address : 80.184.230.177
Local Port : 445 (CIFS - Common Internet File System)
Remote Name :
Remote Address : 80.0.251.220
Remote Port : 4712
Hat jemmand ne Ahnung wieso weshalb warum.Wer schön wenn das jemmand wüßte es nervt langsam.
MFG
Antwort 1 von gitti
Soo detailliert aber keine infos!
Also.
wann und seit wann kommt dieser meldung,
was has du letztens gemacht/geändert?
Antwort 2 von Turbohecht
Seit gestern kommt die meldung mehrmals in der Stunde,aber nur wenn ich Online bin.Geändert hab ich nichts jedenfals nicht bewußt.
MFG
MFG
Antwort 3 von Turbohecht
Ach so die Meldung kommt von meiner Firewall.
MFG
MFG
Antwort 4 von Vovin
Hi.
Du hast einen Wurm/Virus auf deinem Rechner.
Kommt ganz drauf an was Du dir da eingefangen hast. Anscheinend versucht der einen DOS Angriff.
Besorg dir ein anständiges Anti-Viren Programm und installiere zur Sicherheit noch einmal das letze ServicePack neu, da es sein kann das Dateien
Korrumpiert wurden.
Du hast einen Wurm/Virus auf deinem Rechner.
Kommt ganz drauf an was Du dir da eingefangen hast. Anscheinend versucht der einen DOS Angriff.
Besorg dir ein anständiges Anti-Viren Programm und installiere zur Sicherheit noch einmal das letze ServicePack neu, da es sein kann das Dateien
Korrumpiert wurden.
Antwort 5 von Turbohecht
Mein Virenprogramm findet aber nichts das läuft auch ständig.
MFG
MFG
Antwort 6 von Vovin
Da die ganze Sache auf Port 445 versucht raus zu kommen bin ich mir ziemlich sicher.
Das ist der Windows RPC Dienst und der ist bekanntlich gerne mal Tür für Würmer und Viren.
Von wann sind deine Virendefinitionen und welches Programm benutzt du denn?
Das ist der Windows RPC Dienst und der ist bekanntlich gerne mal Tür für Würmer und Viren.
Von wann sind deine Virendefinitionen und welches Programm benutzt du denn?
Antwort 7 von Turbohecht
Wie gesagt ich kann nichts finden.
MFG
MFG
Antwort 8 von Friedel
Was ist denn ein "Windows RPC Dienst"? Nie gehört. Gibt's den auch unter Win2K?
Antwort 9 von The Helper
@Friedel,
das ist der Remoteprozeduraufruf (RPC), der auch unter W2K zu finden ist.
mfG
Helper
das ist der Remoteprozeduraufruf (RPC), der auch unter W2K zu finden ist.
mfG
Helper
Antwort 10 von Cosmoledo
Jupp, den gibt es auch unter W2k.
Das macht der RPC-Dienst:
http://www.pcwelt.de/news/viren_bugs/34067/4.html
Das macht der RPC-Dienst:
http://www.pcwelt.de/news/viren_bugs/34067/4.html
Antwort 11 von Turbohecht
Hab jetzt mit Antivir gesucht.Von einer Boot CD mit F-Prot,mit Stinger,Online mit Bit-Defender.Nichts gefunden.Denke mal es ist kein Virus.
MFG
MFG
Antwort 12 von Vovin
Hi.
Also Deine Firewall mekert, das sich der NT Kernel verändert hat (ntoskrnl.exe).
Normal ist das nicht, ausser du hast gerade ein neues Service Pack oder tiefgreifende Patches installiert. Dann könnte es noch sein.
Es gibt aber auch einige fiese Vieren die in der Datei ganz gerne mal runfingern.
Wenn Du aber nichts findest scheint es das ja nicht zu sein.
Ich kann dir eingentlich nur raten deine Firewall so einzustellen das der Traffic geblockt wird.
Wenn Du irgendetwas installiert hast kann die Meldung davon kommen.
Wenn ich dir noch helfen kann lass es mich wissen...
Also Deine Firewall mekert, das sich der NT Kernel verändert hat (ntoskrnl.exe).
Normal ist das nicht, ausser du hast gerade ein neues Service Pack oder tiefgreifende Patches installiert. Dann könnte es noch sein.
Es gibt aber auch einige fiese Vieren die in der Datei ganz gerne mal runfingern.
Wenn Du aber nichts findest scheint es das ja nicht zu sein.
Ich kann dir eingentlich nur raten deine Firewall so einzustellen das der Traffic geblockt wird.
Wenn Du irgendetwas installiert hast kann die Meldung davon kommen.
Wenn ich dir noch helfen kann lass es mich wissen...
Antwort 13 von gitti
Hi,
So viell ich weiss..
1.) Das Andern des Bootscreens erfordert eine Modifizierung oder das Ersetzen der ntoskrnl.exe.
2.) Du hast tatsch..einen virus
http://www.heise.de/newsticker/data/ghi-15.08.03-000/
Zur Strafe die ganze Seite durchlesen.
3.) weil die BOOT.INI
einen Eintrag enthält der nicht an den richtigen Platz für
dieser datei zeigt. (Natürlich kann es auch sein das diese Datei
tatsächlich beschädigt ist - nur ist ein falscher Pfad in der BOOT.INI
einfach der häufigere Grund für die Meldung.)
gruß,
So viell ich weiss..
1.) Das Andern des Bootscreens erfordert eine Modifizierung oder das Ersetzen der ntoskrnl.exe.
2.) Du hast tatsch..einen virus
http://www.heise.de/newsticker/data/ghi-15.08.03-000/
Zur Strafe die ganze Seite durchlesen.
3.) weil die BOOT.INI
einen Eintrag enthält der nicht an den richtigen Platz für
dieser datei zeigt. (Natürlich kann es auch sein das diese Datei
tatsächlich beschädigt ist - nur ist ein falscher Pfad in der BOOT.INI
einfach der häufigere Grund für die Meldung.)
gruß,
Antwort 14 von Turbohecht
Ich hab das heute mal eine Weile beobachtet und festgestellt anhand der Logdateien das immer eine anfrage von außen kommt mein rechner will auch gleich antworten kann aber nicht da die Firewall es verhindert.
Application has changed since the last time you opened it, process id: 4
Filename: C:\WINDOWS\System32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\WINDOWS\System32\ntoskrnl.exe
---- New modules: 0 ----
Es ist immer die gleiche Anfrage nur der Remote Host ändert sich
MFG
Application has changed since the last time you opened it, process id: 4
Filename: C:\WINDOWS\System32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\WINDOWS\System32\ntoskrnl.exe
---- New modules: 0 ----
Es ist immer die gleiche Anfrage nur der Remote Host ändert sich
MFG
Antwort 15 von Vovin
Hi.
Evtl. versucht ja auch jemand auf deinen Rechner zu kommen bzw. ein Wurm versucht auf deinen Rechner zu kommen.
Blockierst Du nur ausgehenden Verkehr auf 445 auf deinem Rechner oder auch eingehenden?
Du solltest auf jeden Fall eingehenden Verkehr mit Blocken. Am besten auch auf 135 und 139.
Evtl. kommst du noch mit Etherreal oder Packetyzer an mehr informationen wer da was von dir will.
Evtl. versucht ja auch jemand auf deinen Rechner zu kommen bzw. ein Wurm versucht auf deinen Rechner zu kommen.
Blockierst Du nur ausgehenden Verkehr auf 445 auf deinem Rechner oder auch eingehenden?
Du solltest auf jeden Fall eingehenden Verkehr mit Blocken. Am besten auch auf 135 und 139.
Evtl. kommst du noch mit Etherreal oder Packetyzer an mehr informationen wer da was von dir will.
Antwort 16 von Limbius
Logisch - der Wurm ist ja auch auf 1000´en REchnern installiert ;-) die einfach mal durch die Gegend scannen und dich immer wieder finden (logisch - bist ja auch im Internet)
Antwort 17 von Turbohecht
Dann ist der Wurm auf meinem Rechner aber wo ?Mein Scanner findet doch nichts,und ander auch nicht.Der Onlinescan nach Würmern und Trojanern hat auch nichts gebracht.Ich war auch schon bei Microsoft gucken wegen Uptates,das sagt das der Rechner auf dem neusten stand ist.Ich benutze die Sygate Personal Firewall wie Blockt mann dort Ports hab so eine Option nicht gefunden.
MFG
MFG
Antwort 18 von Vovin
Hi.
Wie gesagt evtl. ist auch nichts drauf und du hast gerade das pech das dich immer ein scan trifft.
Wie Du prots Sperren kannst steht hier:
http://www.au-ja.org/artikel-firewall-4.phtml
(hab so schnell nichts anderes gefunden...)
Blockiere einfach den eingehenden Verkehr auf den Ports die dort angegeben sind, das sah ganz ok aus. Am besten bei diesen Ports TCP und UDP sperren.
Wie gesagt evtl. ist auch nichts drauf und du hast gerade das pech das dich immer ein scan trifft.
Wie Du prots Sperren kannst steht hier:
http://www.au-ja.org/artikel-firewall-4.phtml
(hab so schnell nichts anderes gefunden...)
Blockiere einfach den eingehenden Verkehr auf den Ports die dort angegeben sind, das sah ganz ok aus. Am besten bei diesen Ports TCP und UDP sperren.
Antwort 19 von Turbohecht
Trifft mich aber sehr häufig mehrmals in der Stunde.Ist auch das 1.mal das ich merke das eine Firewall laufen tut hab da noch nie was gehabt.Werd mir das gleich mal durchlesen
MFG
MFG
Antwort 20 von Turbohecht
Die ist doch gut die Anleitung.Danke Dir.Ist einfacher als ich dachte.
MFG
MFG
Antwort 21 von Vovin
Kein Problem.
Hoffe es hilft...
Hoffe es hilft...
Antwort 22 von Turbohecht
Hat alles nichts geholfen.Gestern Abend war ruhe,aber seit vorhin ist es wieder da,zum teil jede 5 Minuten.bin kurz davor die Festplatte zu formatieren.
MFG
MFG
Antwort 23 von Vovin
Hi.
Evtl. hast du dir beim Surfen ja eine fiese
Spyware eingefangen.
Die werden in der Regel nicht von Virenprog. erkannt.
Versuch doch noch mal dem ganzen mit
Spybot - Search & Destroy
http://www.safer-networking.org/index.php?lang=en&page=download
oder
Ad-aware
http://www.lavasoftusa.com/support/download/
beizukommen.
Ansonsten weiß ich auch nicht weiter.
Evtl. hast du dir beim Surfen ja eine fiese
Spyware eingefangen.
Die werden in der Regel nicht von Virenprog. erkannt.
Versuch doch noch mal dem ganzen mit
Spybot - Search & Destroy
http://www.safer-networking.org/index.php?lang=en&page=download
oder
Ad-aware
http://www.lavasoftusa.com/support/download/
beizukommen.
Ansonsten weiß ich auch nicht weiter.
Antwort 24 von Turbohecht
Beide Programme hab ich schon lange drauf,die finden nichts.
MFG
MFG