Моя система взломана? Я получил сообщение о ntoskrnl.exe

Question

Я не уверен, что этот вопрос принадлежит ей или нет, но позвольте мне попробовать.

Когда я пришел в офис этим утром, у одного из моих коллег были проблемы с его ноутбуком, и он сказал мне, что у него были проблемы с его перезапуском, и когда он наконец это сделал, он получил следующее сообщение, в котором говорится, что все идет от моего IP(ноутбука)

Application has changed since the last time you opened it, process id: 0
Filename: C:\Windows\system32\ntoskrnl.exe
The change was denied by user.
---- Modules changed: 1 ----
C:\Windows\system32\ntoskrnl.exe
---- New modules: 0 ----

Единственное изменение, которое я сделал на своем ноутбуке, это то, что я вчера включил XP_cmdshell, так как не смог запустить какой-нибудь скрипт T-SQL. Я не знаю, связано это или нет.

Я нахожусь на Win XP SP3 и SQL Server 2008

Пожалуйста, помогите мне понять, если моя система взломана, и это вообще проблема.

Спасибо,

ОБНОВЛЕНИЕ: я запускаю антивирус, и он приходит чисто!

Answer 1

Можете ли вы запустить проверку системных файлов в вашей системе? В командной строке введите sfc/runnow и убедитесь, что ваш диск Windows XP под рукой.

Answer 2

Я думаю, это зависит от того, что делает ваш сценарий, например.

Чтобы увидеть, заражена ли ваша система чем-то, я бы начал сканировать ее с обновленными антивирусными определениями вашего любимого сканера, а также с поиском и уничтожением рекламы и шпионов. Вы также можете запустить обозреватель процессов, чтобы проверить и увидеть, есть ли необычные процессы, выполняющиеся в фоновом режиме, и автозапуска (оба они являются частью Sysinternals, Google для бесплатной загрузки).

Если вам удобно работать с Linux, вы можете настроить систему или виртуальную машину для перехвата сетевого трафика вашего ноутбука (или иметь зеркальный порт на коммутаторе), отслеживать исходящий сетевой трафик с вашего ноутбука, искать подозрительные действия и проверять журналы других пользователей. машины в вашей сети, чтобы увидеть, пытается ли ваш компьютер получить доступ к файлам или копировать объекты в другие места без разрешения. Если вы являетесь администратором в сети, на самом деле невозможно сказать, как далеко проникло вредоносное ПО через скрытые системные ресурсы и другие ресурсы, к которым у вас есть законный доступ. Обновите серверы новыми описаниями вирусов и попросите их также выполнить сканирование.

Если после проверки вашей системы ничего не выделяется, вы также можете запустить chkdsk на компьютере вашего коллеги, просто чтобы проверить, есть ли по какой-то причине коррупция, но вы сказали, что это записано где-то с IP-адресом вашей системы. . так что это довольно странно.

Запустите как можно больше проверок в автономном режиме как можно скорее. Вам нужно быть в сети достаточно долго, чтобы получать обновления и последние подписи. Похоже, что в случае заражения ущерб уже нанесен, но, как только вы сможете, отключите ноутбук, чтобы проверить его на наличие инфекций и очистку.

Эта ссылка содержит полезную информацию об удалении шпионских программ.

Answer 3

Текст сообщения, которое вы описываете, звучит как нечто, сгенерированное приложением Sygate Personal Firewall.

Если ваш коллега только что установил свои исправления безопасности за прошедший месяц, это может быть связано с этим, исправления за февраль 2010 года включали обновления ядра Windows (aka ntoskrnl.exe). Если есть проблемы с ядром, тогда система, скорее всего, будет подвергнута синей проверке, и аварийные дампы предоставят вам массу информации, которая может указать на проблемное программное обеспечение или возможное заражение.

Даже если это является причиной этого сообщения, в системе все равно могут быть вредоносные программы. Я бы посоветовал вам поискать другие признаки компрометации (низкая производительность, странный исходящий сетевой трафик, тупые всплывающие окна и т.д.)