Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

ntoskernel.exe (geinfecteerd of niet?)

coolegast
9 antwoorden
  • Ik heb hier: http://forum.computertotaal.nl/phpBB/viewtopic.php?t=148310
    een post geplaatst omdat iets van buitenaf iedere
    keer mijn [b:5d5d1ae7f0]windows/system32/ntoskernel.exe[/b:5d5d1ae7f0] probeert te
    veranderen zodra ik het internet opga.

    omdat ik zo paranoïde ben of er iets mis is met die ntoskernel.exe bestand
    (hart van een XP installatie denk ik, dus heeeel belangrijk)
    heb ik de volgende vragen.

    1. Je kan de systeem bestanden (ntoskernel.exe dus ook denk ik)
    laten scannen in windows om de inetgriteit te checken ofzo.
    Wat dat betekent of hoe dat werkt en of het helpt
    (want mischien maakt windows regelmatig backups en maakt een nieuwe
    checksum van het mischien besmette bestand, dus als je dan achteraf
    laat controlleren door windows ziet hij geen fouten en weetje nog niet of
    die bestand deugtweet ik niet.)

    Maar hoe doe je dat, dat laten controlleren? 1.2 En controleert windows dan idd.
    alleen de checksum ofzo?

    2. verandert je Ntoskernel.exe door het installeren van SP2 ?

    3. Je kan een 'repair' laten uivoeren met de XP boot-cd.
    Maar wat doet die repair dan? Verplaast de repair je huidige ntoskernel.exe met een versie van de bootcd?
    Zoja, maar als SP2 je ntoskernel heeft verandert dan krijg je dus
    na de reparatie een oude ntoskernel.exe terrug?
    En kan je daarmee geen propbelmen verwachten? (op een
    pc waar achteraf SP2 op is geinstalleerd)

    vragen, vragen, vragen, wie weet meer dan het beklijken van een
    hijckthis logje en kan me helpen?

    Ik zelf al het volgende geprobeert:
    *de datum van aanmaak/modificatie van het bestand bekeken.
    maar als het echt een of ander virus is zegt dat natuurlijk niks.
    omdat ze de datums kunnen veranderen.
    *file laten scannen door 2 online scanners 'jotti' en nog eentje.
    niks…
    *in sygate firewall gekeken die steeds die melding geeft.
    er zijn steeds wisselende externe Ipadressen die hetzelfde willen doen op
    mijn pc. (nl. mijn ntoskernel.exe veranderen)
    Dat dient toch serieus te worden genomen?



  • Het Ntkernel kan na een update/ patch van Microsoft inderdaad veranderen; bijvoorbeeld na het installeren van SP2. Dit is normaal.

    OP het Sygate Forum kun je meer lezen/vragen over de waarschuwingen van Sygate Firewall.

    Sygate product forum : http://forums.sygate.com/vb/index.php?s=0e5a0a23f86313e156c5d3037c8f3738


    En o.a. hier wordt je probleem/vraag besproken:
    http://forums.sygate.com/vb/showthread.php?s=0e5a0a23f86313e156c5d3037c8f3738&threadid=13318&highlight=kernel

    Hoop dat je hier een antwoord vind.
  • meld je voortaan even of het gelukt is?
  • Hai! :)

    okay zal ik doen,
    maar ik kan nu al zeggen dat ik er nog lang niet ben.

    Het probleem dat beschreven wordt in de link is anders
    dan de probleem waar ik mee zit.
    De TS. aldaar heeft te maken met een ntoskrnl.exe dat 'al' verandert
    is en toegang wenst tot een ectern Ip op internet.
    'Ik' heb het probleem dat een extern IP 'mijn' ntoskrnl.exe
    wil veranderen, elke keer als ik inlog op internet.

    vreemd niet?
    ik heb ook al gegoogled en overal waar mijn probleem wél
    wordt beschreven volgt géén oplossing.

    Nou is mijn vraag hoe dit kan. dat elke keer zodra 'ik' me
    op internet begeef, een extern adres weet dat ik online ben en mijn
    ntoskrnl.exe wil veranderen.
    Hoe kan dat? Zit er iets op mijn Xp-installatie dat mij steeds verraadt
    als mogelijk slachtoffer??

    weird.
  • he doubledd(dat ben jij toch?),

    jammer dat je antwoord er nog niet is; ze hebben mij in ieder geval altijd goed geholpen op het Sygate Forum, dus wie weet :wink:

    Ik ben benieuwd naar de oplossing, want ik heb een jaar geleden precies hetzelfde probleem/meldingen gehad op een pc met sygate. (weet alleen niet meer hoe ik het heb opgelost :oops:)

    Je logje uit je vorige post lijkt me schoon al kunnen de hijachthis-experts daar meer zekerheid over geven.

    Al gescand met deze progjes;
    http://www.trojanhunter.com/
    http://www.ewido.net/en/

    succes verder
  • DoubleDD ben ik idd. ;)

    Zou het kunnen zijn dat er een virus op mijn pc schuilt dat contact maakt
    met remote IP's die vervolgens mijn bestanden willen veranderen?

    Dezelfde IP's die veranderingen op mijn pc willen doorvoeren zijn
    ook constant portscans aan het uitvoeren!
    :(

    Zal ik die Ip's es plaatsen?
    (zal wel niks mee gedaan kunnen worden denk ik)
  • Virussen of trojans? ,
    dat zou dan niet leuk zijn van je NOD32 viruscanner. NOD32 is een heel goede scanner, maar je weet maar nooit!
    Ik zou die trial van trojanhunter even proberen.

    Telkens Portscans van IP's, die ook voor die ntoskrnl.exe-veranderingen zorgen lijkt me niet in orde!

    Was dat trouwens je volledige Hijackthis-log?
  • [quote:8a3eef0dee="kompod"]Virussen of trojans? ,
    dat zou dan niet leuk zijn van je NOD32 viruscanner. NOD32 is een heel goede scanner, maar je weet maar nooit!
    Ik zou die trial van trojanhunter even proberen.

    Telkens Portscans van IP's, die ook voor die ntoskrnl.exe-veranderingen zorgen lijkt me niet in orde!

    Was dat trouwens je volledige Hijackthis-log?[/quote:8a3eef0dee]

    ja dat was mijn volledige hijackthis log. hoezo?
    Ik ga trojanhunter ff proberen.
  • AFAIK is ntoskernel.exe nep. Ga er met de verkenner eens heen en kijk eens naar de eigenschappen van het bestand? De normale kernel is nl ntoskrnl.exe… je kunt ook proberen of je ntoskernel.exe kunt uitvoeren. Krijg je géén error dat het niet in win32-mode kan worden uitgevoerd dan is het _niet_ de kernel…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.